Article 12
Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée

Textes
Officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 12 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 12 keyboard_arrow_up

(58) Le principe de transparence exige que toute information adressée au public ou à la personne concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples et, en outre, lorsqu'il y a lieu, illustrée à l'aide d'éléments visuels. Ces informations pourraient être fournies sous forme électronique, par exemple via un site internet lorsqu'elles s'adressent au public. Ceci vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font en sorte qu’il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. Les enfants méritant une protection spécifique, toute information et communication, lorsque le traitementles concerne, devraient être rédigées en des termes clairs et simples que l'enfant peut aisément comprendre.

(61) Les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d'elle ou, si les données à caractère personnel sont obtenues d'une autre source, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données à caractère personnel peuvent être légitimement communiquées à un autre destinataire, il convient que la personne concernée soit informée du moment auquel ces données à caractère personnel sont communiquées pour la première fois audit destinataire. Lorsqu'il a l'intention de traiter les données à caractère personnel à des fins autres que celles pour lesquelles elles ont été collectées, le responsable du traitement devrait, avant de procéder à ce traitement ultérieur, fournir à la personne concernée des informations au sujet de cette autre finalité et toute autre information nécessaire. Lorsque l'origine des données à caractère personnel n'a pas pu être communiquée à la personne concernée parce que plusieurs sources ont été utilisées, des informations générales devraient être fournies.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 12.

Le GDPR

L’article 13 du Règlement renforce le devoir d’information lorsque les données sont collectées auprès de la personne, sauf si la personne concernée dispose déjà des informations visées.

Les éléments d’informations inconditionnés déjà présents dans la Directive se diversifient: l’information donnée devra permettre d’identifier l’éventuel délégué à la protection des données, l’éventuel représentant du responsable du traitement, le fondement juridique du traitement en sus de ses finalités ou les intérêts légitimes sur lesquels se fonde le responsable. Une autre information obligatoire porte sur la volonté d’effectuer un transfert de données vers un destinataire d’un pays tiers ou d’une organisation internationale, l’absence de décision d’adéquation du niveau de protection ou encore, le cas échéant, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition.

La notion de destinataire doit être entendue comme la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers; les autorités qui sont susceptibles de recevoir communication de données dans le cadre d'une mission d'enquête particulière ne sont toutefois pas considérées comme des destinataires (art. 4, 9).

La condition du devoir d’information des autres éléments devient le caractère nécessaire pour garantir « un traitement équitable et transparent », ce qui ne devrait rien changer sur le fond.

Par contre les éléments d’informations sont aussi plus nombreux.

On vise maintenant notamment la période de conservation des données ou à tout le moins les critères permettant de la déterminer, l’existence de l’ensemble des droits reconnus à la personne (en ce compris par exemple le droit à la portabilité des données ou de retrait du consentement), et le droit d’introduire une réclamation auprès d’une autorité de contrôle.

La nature obligatoire éventuelle de la collecte donne lieu à la plus grande précision (caractère réglementaire ou contractuel de l’exigence de fourniture des données, conséquences notamment sur la conclusion d’un contrat de la fourniture des données, etc.).

Il faut également, le cas échéant, informer de l’existence d’une prise de décision automatisée comprenant un profilage au sens des articles 22(1) et (4) ainsi qu’une information significative de la logique sous-jacente et les conséquences du traitement pour la personne.

Il faut encore informer, le cas échéant, des changements de finalités par rapport à la finalité initiale ce qui implique le cas échéant, une nouvelle information préalable sur l’ensemble des éléments précités.

La Directive

La Directive ne comprenait pas de disposition générale concernant les modalités générales de l’exercice des droits.

Celles-ci divergeaient donc d’une législation nationale à l’autre, où du reste les modalités de chacun des droits étaient prévues avec plus ou moins de précision.

Belgique

En droit belge, les modalités d’exercice des droits reconnus aux personnes concernées étaient définies aux articles 32 à 35 de l’Arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel. Les droits de la personne peuvent s’exercer par écrit ou par voie électronique selon des conditions propres. La preuve de l’identité de la personne concernée doit être rapportée par celle-ci. Un délai de réaction de 45 jours est prévu pour le droit d’accès et d’un mois pour les droits de rectification et d’opposition. Dans certains cas, la loi du 8 décembre 1992 prévoit uniquement un droit d’accès indirect, par l’intermédiaire de la Commission de la vie privée, en ce qui concerne notamment les services de renseignement et de sécurité (art. 3, § 4), les services de police (art. 3, § 5), le SPF Finances (art. 3, § 7),…

Difficultés probables ?

La difficulté ne naît pas tant du plus grand nombre d’informations dont il faudra tenir compte, mais de l’incertitude quant à leur transmission à la personne concernée, dès lors que la toute grande majorité de celles-ci est conditionnée par sa nécessité à un traitement « équitable et transparent ». Difficile de dire si, dans le doute, les responsables choisiront la transparence ou non, d’autant que le contenu de certaines de ces informations risque poser difficulté (identification des intérêts légitimes, par exemple).

Groupe 29

Guidelines on the right to data portability (5 april 2017)

(Endorsed by the EDPB)

Article 20 of the GDPR creates a new right to data portability, which is closely related to the right of access but differs from it in many ways. It allows for data subjects to receive the personal data that they have provided to a controller, in a structured, commonly used and machine-readable format, and to transmit those data to another data controller. The purpose of this new right is to empower the data subject and give him/her more control over the personal data concerning him or her.

Since it allows the direct transmission of personal data from one data controller to another, the right to data portability is also an important tool that will support the free flow of personal data in the EU and foster competition between controllers. It will facilitate switching between different service providers, and will therefore foster the development of new services in the context of the digital single market strategy.

This opinion provides guidance on the way to interpret and implement the right to data portability as introduced by the GDPR. It aims at discussing the right to data portability and its scope. It clarifies the conditions under which this new right applies taking into account the legal basis of the data processing (either the data subject’s consent or the necessity to perform a contract) and the fact that this right is limited to personal data provided by the data subject. The opinion also provides concrete examples and criteria to explain the circumstances in which this right applies. In this regard, WP29 considers that the right to data portability covers data provided knowingly and actively by the data subject as well as the personal data generated by his or her activity. This new right cannot be undermined and limited to the personal information directly communicated by the data subject, for example, on an online form.

As a good practice, data controllers should start developing the means that will contribute to answer data portability requests, such as download tools and Application Programming Interfaces. They should guarantee that personal data are transmitted in a structured, commonly used and machine-readable format, and they should be encouraged to ensure the interoperability of the data format provided in the exercise of a data portability request.

The opinion also helps data controllers to clearly understand their respective obligations and recommends best practices and tools that support compliance with the right to data portability. Finally, the opinion recommends that industry stakeholders and trade associations work together on a common set of interoperable standards and formats to deliver the requirements of the right to data portability. 

Read the Guidelines

Règlement
1e 2e

Art. 12

1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l'article 34 en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l'identité de la personne concernée soit démontrée par d'autres moyens.

2. Le responsable du traitement facilite l'exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l'article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d'exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu'il n'est pas en mesure d'identifier la personne concernée.

3. Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d'une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu'il en soit autrement.

4. Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d'un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d'introduire une réclamation auprès d'une autorité de contrôle et de former un recours juridictionnel.

5. Aucun paiement n'est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l'article 34. Lorsque les demandes d'une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut:

a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées; ou

b) refuser de donner suite à ces demandes.
Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

6. Sans préjudice de l'article 11, lorsque le responsable du traitement a des doutes raisonnables quant à l'identité de la personne physique présentant la demande visée aux articles 15 à 21, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l'identité de la personne concernée.

7. Les informations à communiquer aux personnes concernées en application des articles 13 et 14 peuvent être fournies accompagnées d'icônes normalisées afin d'offrir une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine.

8. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 92, aux fins de déterminer les informations à présenter sous la forme d'icônes ainsi que les procédures régissant la fourniture d'icônes normalisées.

Proposition 1 close

1. Le responsable du traitement établit les procédures d'information prévues à l’article 14 et les procédures d'exercice des droits des personnes concernées mentionnés aux articles 13, et 15 à 19. Il met notamment en place des mécanismes facilitant l’introduction de la demande portant sur les mesures prévues aux articles 13, et 15 à 19. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé, le responsable du traitement doit également fournir les moyens d'effectuer des demandes par voie électronique. Le responsable du traitement informe la personne concernée sans tarder et, au plus tard, dans un délai d'un mois à compter de la réception de la demande, indépendamment de l'éventuelle adoption d'une mesure conformément aux articles 13, et 15 à 19 et fournit les informations demandées. Ce délai peut être prolongé d'un mois, si plusieurs personnes concernées exercent leurs droits et si leur coopération est suffisamment nécessaire pour empêcher un effort inutile et disproportionné de la part du responsable du traitement. Ces informations sont données par écrit. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement.

3. Si le responsable du traitement refuse de prendre des mesures demandées par la personne concernée, il informe cette dernière des motifs du refus, des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel.

4. Les informations et les mesures prises dans le cadre des demandes visées au paragraphe 1 sont gratuites. Lorsque les demandes sont manifestement excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais pour fournir les informations ou pour prendre les mesures demandées, peut s'abstenir de prendre les mesures demandées. Dans ce cas, il incombe au responsable du traitement de prouver le caractère manifestement excessif de la demande.

5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et conditions applicables aux demandes manifestement excessives, et les frais visés au paragraphe 4.

6. La Commission peut établir des formulaires types et préciser des procédures types pour la communication visée au paragraphe 2, y compris sous forme électronique. Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Article 13 Droits à l'égard des destinataires

 Le responsable du traitement communique à chaque destinataire à qui les données ont été transmises toute rectification ou effacement effectué conformément aux articles 16 et 17, à moins qu'une telle communication se révèle impossible ou suppose un effort disproportionné.

Proposition 2 close

1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 14 et 14 bis ainsi que pour procéder à toute communication visée aux articles 15 à 19 et à l'article 32 en ce qui concerne le traitement des données à caractère personnel de la personne concernée d'une façon compréhensible et facilement accessible, en des termes clairs et simples. Les informations sont fournies par écrit ou par d'autres moyens, le cas échéant par voie électronique. Lorsque la personne concernée en fait la demande sous forme électronique, les informations peuvent en règle générale être fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement. Lorsque la personne concernée en fait la demande, les informations peuvent être communiquées oralement, à condition que l'identité de la personne concernée soit démontrée.

1 bis. Le responsable du traitement facilite l'exercice des droits conférés à la personne concernée en vertu des articles 15 à 19. (...) Dans les cas visés à l'article 10, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d'exercer les droits que lui confèrent les articles 15 à 19, à moins que le responsable du traitement ne démontre qu'il n'est pas en mesure d'identifier la personne concernée.

2. Le contrôleur fournit à la personne concernée(...) les informations sur les mesures prises sur demande en application des articles 15 et 16 à 19, sans tarder et au plus tard dans un délai d'un mois après la réception de la demande (…). Ce délai peut être prolongé de deux mois au besoin, compte tenu de la complexité et du nombre des demandes. En cas de prolongation du délai, la personne concernée est informée, dans un délai d'un mois à compter de la réception de la demande, des raisons du report.

3. Si le responsable du traitement ne donne aucune suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d'un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d'introduire une réclamation auprès d'une autorité de contrôle (…).

4. Les informations visées aux articles 14 et 14 bis (…) ainsi que toute communication au titre des articles 16 à 19 et de l'article 32, sont fournies gratuitement. Lorsque des demandes d'une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement (…) peut refuser d'y donner suite. Dans ce cas, il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

4 bis. Sans préjudice de l'article 10, lorsque le responsable du traitement a des doutes fondés quant à l'identité de la personne présentant la demande visée aux articles 15 à 19, il peut demander la fourniture des informations complémentaires nécessaires pour confirmer l'identité de la personne concernée.

5. (...)

6. (...)

Directive close

Pas de disposition correspondante.

Aucune disposition spécifique

Ancienne loi close

Art. 32 à 46 de l’Arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel

Exercice des droits visés aux articles 10 et 12 de la loi.

Art. 32

Toute personne, justifiant de son identité, a le droit d'obtenir, dans les conditions prévues par la loi, communication de l'information visée à l'article 10 de la loi, en adressant une demande signée et datée qu'elle remet sur place ou qu'elle envoie par la poste, ou par tout moyen de télécommunication :

  * soit au responsable du traitement ou à son représentant en Belgique, ou à l'un de ses mandataires ou préposés;

  * soit au sous-traitant du traitement des données à caractère personnel qui la communique, le cas échéant, à une des personnes mentionnées ci-dessus.

  En cas de remise de la demande sur place, la personne, qui la reçoit, délivre immédiatement un accusé de réception daté et signé à l'auteur de la demande.

Art. 33

Les demandes de rectification, de suppression ou d'interdiction des données à caractère personnel, ou la communication d'une opposition, fondée sur l'article 12 de la loi, sont introduites selon la même procédure et auprès des mêmes personnes que celles mentionnées à l'article 32 du présent arrêté.

Art. 34

 Lorsque des données à caractère personnel sont collectées, par écrit, auprès de la personne concernée, le responsable du traitement demande, à celle-ci, sur le document grâce auquel il collecte ses données, si elle souhaite exercer le droit d'opposition, institué à l'article 12, § 1er, alinéa 3, de la loi.

Lorsque les données à caractère personnel sont collectees auprès de la personne concernee, autrement que par écrit, le responsable du traitement demande, à celle-ci, si elle souhaite exercer le droit d'opposition, institué à l'article 12, § 1er, alinéa 3, de la loi, soit sur un document qu'il lui communique à cette fin au plus tard deux mois après la collecte des données à caractère personnel, soit par tout moyen technique qui permet de conserver la preuve que la personne concernée a eu la possibilité d'exercer son droit.

Art. 35

Lorsque les données à caractère personnel ne sont pas obtenues auprès de la personne concernée, le responsable du traitement, soumis à l'article 9, § 2, c), de la loi, lui demande, par écrit, si elle souhaite exercer le droit d'opposition, institué à l'article 12, § 1er, alinéa 3, de la loi.

 

 

close