Article 12
Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée

Textes
Officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 12 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 12 keyboard_arrow_up

(58) Le principe de transparence exige que toute information adressée au public ou à la personne concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples et, en outre, lorsqu'il y a lieu, illustrée à l'aide d'éléments visuels. Ces informations pourraient être fournies sous forme électronique, par exemple via un site internet lorsqu'elles s'adressent au public. Ceci vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font en sorte qu’il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. Les enfants méritant une protection spécifique, toute information et communication, lorsque le traitementles concerne, devraient être rédigées en des termes clairs et simples que l'enfant peut aisément comprendre.

(61) Les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d'elle ou, si les données à caractère personnel sont obtenues d'une autre source, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données à caractère personnel peuvent être légitimement communiquées à un autre destinataire, il convient que la personne concernée soit informée du moment auquel ces données à caractère personnel sont communiquées pour la première fois audit destinataire. Lorsqu'il a l'intention de traiter les données à caractère personnel à des fins autres que celles pour lesquelles elles ont été collectées, le responsable du traitement devrait, avant de procéder à ce traitement ultérieur, fournir à la personne concernée des informations au sujet de cette autre finalité et toute autre information nécessaire. Lorsque l'origine des données à caractère personnel n'a pas pu être communiquée à la personne concernée parce que plusieurs sources ont été utilisées, des informations générales devraient être fournies.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 12.

Le GDPR

L’article 13 du Règlement renforce le devoir d’information lorsque les données sont collectées auprès de la personne, sauf si la personne concernée dispose déjà des informations visées.

Les éléments d’informations inconditionnés déjà présents dans la Directive se diversifient: l’information donnée devra permettre d’identifier l’éventuel délégué à la protection des données, l’éventuel représentant du responsable du traitement, le fondement juridique du traitement en sus de ses finalités ou les intérêts légitimes sur lesquels se fonde le responsable. Une autre information obligatoire porte sur la volonté d’effectuer un transfert de données vers un destinataire d’un pays tiers ou d’une organisation internationale, l’absence de décision d’adéquation du niveau de protection ou encore, le cas échéant, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition.

La notion de destinataire doit être entendue comme la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers; les autorités qui sont susceptibles de recevoir communication de données dans le cadre d'une mission d'enquête particulière ne sont toutefois pas considérées comme des destinataires (art. 4, 9).

La condition du devoir d’information des autres éléments devient le caractère nécessaire pour garantir « un traitement équitable et transparent », ce qui ne devrait rien changer sur le fond.

Par contre les éléments d’informations sont aussi plus nombreux.

On vise maintenant notamment la période de conservation des données ou à tout le moins les critères permettant de la déterminer, l’existence de l’ensemble des droits reconnus à la personne (en ce compris par exemple le droit à la portabilité des données ou de retrait du consentement), et le droit d’introduire une réclamation auprès d’une autorité de contrôle.

La nature obligatoire éventuelle de la collecte donne lieu à la plus grande précision (caractère réglementaire ou contractuel de l’exigence de fourniture des données, conséquences notamment sur la conclusion d’un contrat de la fourniture des données, etc.).

Il faut également, le cas échéant, informer de l’existence d’une prise de décision automatisée comprenant un profilage au sens des articles 22(1) et (4) ainsi qu’une information significative de la logique sous-jacente et les conséquences du traitement pour la personne.

Il faut encore informer, le cas échéant, des changements de finalités par rapport à la finalité initiale ce qui implique le cas échéant, une nouvelle information préalable sur l’ensemble des éléments précités.

La Directive

La Directive ne comprenait pas de disposition générale concernant les modalités générales de l’exercice des droits.

Celles-ci divergeaient donc d’une législation nationale à l’autre, où du reste les modalités de chacun des droits étaient prévues avec plus ou moins de précision.

Belgique

En droit belge, les modalités d’exercice des droits reconnus aux personnes concernées étaient définies aux articles 32 à 35 de l’Arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel. Les droits de la personne peuvent s’exercer par écrit ou par voie électronique selon des conditions propres. La preuve de l’identité de la personne concernée doit être rapportée par celle-ci. Un délai de réaction de 45 jours est prévu pour le droit d’accès et d’un mois pour les droits de rectification et d’opposition. Dans certains cas, la loi du 8 décembre 1992 prévoit uniquement un droit d’accès indirect, par l’intermédiaire de la Commission de la vie privée, en ce qui concerne notamment les services de renseignement et de sécurité (art. 3, § 4), les services de police (art. 3, § 5), le SPF Finances (art. 3, § 7),…

Difficultés probables ?

La difficulté ne naît pas tant du plus grand nombre d’informations dont il faudra tenir compte, mais de l’incertitude quant à leur transmission à la personne concernée, dès lors que la toute grande majorité de celles-ci est conditionnée par sa nécessité à un traitement « équitable et transparent ». Difficile de dire si, dans le doute, les responsables choisiront la transparence ou non, d’autant que le contenu de certaines de ces informations risque poser difficulté (identification des intérêts légitimes, par exemple).

Groupe 29

Lignes directrices relatives au droit à la portabilité des données (5 avril 2017)

(Approuvées par le CEPD)

L’article 20 du règlement général sur la protection des données crée un nouveau droit à la portabilité des données, qui est étroitement lié au droit d’accès aux données, tout en différant de celui-ci à de nombreux égards. Il confère aux personnes concernées le droit de recevoir les données à caractère personnel qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable du traitement. Ce nouveau droit a pour objectif de responsabiliser les personnes concernées et de leur permettre de contrôler davantage les données à caractère personnel les concernant.

Dans la mesure où il permet la transmission directe des données à caractère personnel d’un responsable du traitement à un autre, le droit à la portabilité des données constitue également un instrument important qui facilitera la libre circulation des données à caractère personnel dans l’Union et qui stimulera la concurrence entre les responsables du traitement. Il facilitera le passage d’un prestataire de services à un autre et encouragera dès lors la mise au point de nouveaux services dans le contexte de la stratégie pour un marché unique numérique.

Le présent avis fournit des orientations sur la manière d’interpréter et de mettre en oeuvre le droit à la portabilité des données, tel qu’il a été introduit par le règlement général sur la protection des données. Il a pour objet d’examiner la question du droit à la portabilité des données et son champ d’application. Il précise les conditions dans lesquelles ce nouveau droit s’applique compte tenu de la base juridique du traitement des données (soit le consentement de la personne concernée, soit la nécessité d’exécuter un contrat) et du fait que ce droit est limité aux données à caractère personnel fournies par la personne concernée. Le présent avis fournit également des exemples et des critères concrets pour expliquer les circonstances dans lesquelles ce droit s’applique. À cet égard, le groupe de travail «Article 29» considère que le droit à la portabilité des données couvre les données fournies sciemment et activement par la personne concernée, ainsi que les données à caractère personnel générées par son activité. Ce nouveau droit ne peut être remis en cause et limité aux informations à caractère personnel que la personne concernée communique directement, par exemple sur un formulaire en ligne.

À titre de bonne pratique, les responsables du traitement devraient commencer à élaborer les moyens qui contribueront à répondre aux demandes de portabilité des données, comme des outils de téléchargement et des interfaces de programme d’application. Ils devraient garantir que les données à caractère personnel sont transmises dans un format structuré, couramment utilisé et lisible par machine et doivent être encouragés à garantir l’interopérabilité du format de données fourni dans le cadre de l’exercice d’une demande de portabilité des données.

Le présent avis aide également les responsables du traitement à comprendre clairement leurs obligations respectives et recommande des bonnes pratiques et des outils visant à soutenir le respect du droit à la portabilité des données. Enfin, il recommande que les parties prenantes du secteur et les associations professionnelles travaillent de concert sur une série commune de normes et de formats interopérables afin de satisfaire aux exigences liées au droit à la portabilité des données.

Lien

Lignes directrices sur la transparence au sens du règlement (UE) 2016/679 (11 avril 2018)

(Approuvées par le CEPD)

Les présentes lignes directrices du groupe de travail «Article 29» (G29) fournissent une orientation pratique ainsi qu’une aide à l’interprétation concernant la nouvelle obligation de transparence applicable au traitement des données à caractère personnel au titre du règlement général sur la protection des données (ci-après le «RGPD»). La transparence est une obligation globale au sens du RGPD qui s’applique à trois domaines centraux: 1) la communication aux personnes concernées d’informations relatives au traitement équitable de leurs données; 2) la façon dont les responsables du traitement communiquent avec les personnes concernées sur leurs droits au titre du RGPD; et 3) la façon dont les responsables du traitement facilitent l’exercice par les personnes concernées de leurs droits. Dans la mesure où le respect de la transparence à l’égard du traitement des données est requis par la directive (UE) 2016/6803, ces lignes directrices s’appliquent également à l’interprétation de ce principe4. À l’instar de toutes les lignes directrices du G29, les présentes lignes directrices ont vocation à être généralement applicables et pertinentes pour les responsables du traitement, quelles que soient les caractéristiques sectorielles, d’entreprise ou réglementaires spécifiques à un responsable du traitement en particulier. À ce titre, ces lignes directrices ne peuvent pas prendre en compte les nuances et nombreuses variables pouvant apparaître dans le contexte des obligations de transparence d’un secteur, d’une entreprise ou d’un domaine réglementé spécifique. Néanmoins, elles visent, d’une part, à permettre aux responsables du traitement de comprendre, à un degré élevé, l’interprétation par le G29 de ce que les obligations de transparence impliquent dans la pratique et, d’autre part, à indiquer l'approche que les responsables du traitement devraient, selon le G29, adopter en matière de transparence tout en intégrant les notions d’équité et de responsabilité dans leurs mesures de transparence.

La transparence est une caractéristique bien ancrée dans le droit de l’Union européenne. Son objectif premier est de susciter la confiance dans les processus applicables aux citoyens en leur permettant de comprendre et, au besoin, de contester lesdits processus. C’est également une expression du principe d’équité à l’égard du traitement des données à caractère personnel énoncé à l’article 8 de la charte des droits fondamentaux de l’Union européenne. Conformément au RGPD [article 5, paragraphe 1, point a)], outre l’obligation de traiter les données de manière licite et loyale, la transparence constitue désormais un aspect fondamental des principes relatifs au traitement. La transparence est intrinsèquement liée à l’équité et au nouveau principe de responsabilité au titre du RGPD. Il ressort également de l’article 5, paragraphe 2, que le responsable du traitement doit toujours être en mesure de démontrer que les données à caractère personnel sont traitées de manière transparente au regard de la personne concernée. Parallèlement, le principe de responsabilité exige la transparence des opérations de traitement afin que les responsables du traitement puissent démontrer qu’ils satisfont aux obligations leur incombant en vertu du RGPD.

Lien

Règlement
1e 2e

Art. 12

1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l'article 34 en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l'identité de la personne concernée soit démontrée par d'autres moyens.

2. Le responsable du traitement facilite l'exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l'article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d'exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu'il n'est pas en mesure d'identifier la personne concernée.

3. Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d'une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu'il en soit autrement.

4. Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d'un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d'introduire une réclamation auprès d'une autorité de contrôle et de former un recours juridictionnel.

5. Aucun paiement n'est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l'article 34. Lorsque les demandes d'une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut:

a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées; ou

b) refuser de donner suite à ces demandes.
Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

6. Sans préjudice de l'article 11, lorsque le responsable du traitement a des doutes raisonnables quant à l'identité de la personne physique présentant la demande visée aux articles 15 à 21, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l'identité de la personne concernée.

7. Les informations à communiquer aux personnes concernées en application des articles 13 et 14 peuvent être fournies accompagnées d'icônes normalisées afin d'offrir une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine.

8. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 92, aux fins de déterminer les informations à présenter sous la forme d'icônes ainsi que les procédures régissant la fourniture d'icônes normalisées.

Proposition 1 close

1. Le responsable du traitement établit les procédures d'information prévues à l’article 14 et les procédures d'exercice des droits des personnes concernées mentionnés aux articles 13, et 15 à 19. Il met notamment en place des mécanismes facilitant l’introduction de la demande portant sur les mesures prévues aux articles 13, et 15 à 19. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé, le responsable du traitement doit également fournir les moyens d'effectuer des demandes par voie électronique. Le responsable du traitement informe la personne concernée sans tarder et, au plus tard, dans un délai d'un mois à compter de la réception de la demande, indépendamment de l'éventuelle adoption d'une mesure conformément aux articles 13, et 15 à 19 et fournit les informations demandées. Ce délai peut être prolongé d'un mois, si plusieurs personnes concernées exercent leurs droits et si leur coopération est suffisamment nécessaire pour empêcher un effort inutile et disproportionné de la part du responsable du traitement. Ces informations sont données par écrit. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement.

3. Si le responsable du traitement refuse de prendre des mesures demandées par la personne concernée, il informe cette dernière des motifs du refus, des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel.

4. Les informations et les mesures prises dans le cadre des demandes visées au paragraphe 1 sont gratuites. Lorsque les demandes sont manifestement excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais pour fournir les informations ou pour prendre les mesures demandées, peut s'abstenir de prendre les mesures demandées. Dans ce cas, il incombe au responsable du traitement de prouver le caractère manifestement excessif de la demande.

5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et conditions applicables aux demandes manifestement excessives, et les frais visés au paragraphe 4.

6. La Commission peut établir des formulaires types et préciser des procédures types pour la communication visée au paragraphe 2, y compris sous forme électronique. Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Article 13 Droits à l'égard des destinataires

 Le responsable du traitement communique à chaque destinataire à qui les données ont été transmises toute rectification ou effacement effectué conformément aux articles 16 et 17, à moins qu'une telle communication se révèle impossible ou suppose un effort disproportionné.

Proposition 2 close

1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 14 et 14 bis ainsi que pour procéder à toute communication visée aux articles 15 à 19 et à l'article 32 en ce qui concerne le traitement des données à caractère personnel de la personne concernée d'une façon compréhensible et facilement accessible, en des termes clairs et simples. Les informations sont fournies par écrit ou par d'autres moyens, le cas échéant par voie électronique. Lorsque la personne concernée en fait la demande sous forme électronique, les informations peuvent en règle générale être fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement. Lorsque la personne concernée en fait la demande, les informations peuvent être communiquées oralement, à condition que l'identité de la personne concernée soit démontrée.

1 bis. Le responsable du traitement facilite l'exercice des droits conférés à la personne concernée en vertu des articles 15 à 19. (...) Dans les cas visés à l'article 10, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d'exercer les droits que lui confèrent les articles 15 à 19, à moins que le responsable du traitement ne démontre qu'il n'est pas en mesure d'identifier la personne concernée.

2. Le contrôleur fournit à la personne concernée(...) les informations sur les mesures prises sur demande en application des articles 15 et 16 à 19, sans tarder et au plus tard dans un délai d'un mois après la réception de la demande (…). Ce délai peut être prolongé de deux mois au besoin, compte tenu de la complexité et du nombre des demandes. En cas de prolongation du délai, la personne concernée est informée, dans un délai d'un mois à compter de la réception de la demande, des raisons du report.

3. Si le responsable du traitement ne donne aucune suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d'un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d'introduire une réclamation auprès d'une autorité de contrôle (…).

4. Les informations visées aux articles 14 et 14 bis (…) ainsi que toute communication au titre des articles 16 à 19 et de l'article 32, sont fournies gratuitement. Lorsque des demandes d'une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement (…) peut refuser d'y donner suite. Dans ce cas, il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

4 bis. Sans préjudice de l'article 10, lorsque le responsable du traitement a des doutes fondés quant à l'identité de la personne présentant la demande visée aux articles 15 à 19, il peut demander la fourniture des informations complémentaires nécessaires pour confirmer l'identité de la personne concernée.

5. (...)

6. (...)

Directive close

Pas de disposition correspondante.

Aucune disposition spécifique

Ancienne loi close

Art. 32 à 46 de l’Arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel

Exercice des droits visés aux articles 10 et 12 de la loi.

Art. 32

Toute personne, justifiant de son identité, a le droit d'obtenir, dans les conditions prévues par la loi, communication de l'information visée à l'article 10 de la loi, en adressant une demande signée et datée qu'elle remet sur place ou qu'elle envoie par la poste, ou par tout moyen de télécommunication :

  * soit au responsable du traitement ou à son représentant en Belgique, ou à l'un de ses mandataires ou préposés;

  * soit au sous-traitant du traitement des données à caractère personnel qui la communique, le cas échéant, à une des personnes mentionnées ci-dessus.

  En cas de remise de la demande sur place, la personne, qui la reçoit, délivre immédiatement un accusé de réception daté et signé à l'auteur de la demande.

Art. 33

Les demandes de rectification, de suppression ou d'interdiction des données à caractère personnel, ou la communication d'une opposition, fondée sur l'article 12 de la loi, sont introduites selon la même procédure et auprès des mêmes personnes que celles mentionnées à l'article 32 du présent arrêté.

Art. 34

 Lorsque des données à caractère personnel sont collectées, par écrit, auprès de la personne concernée, le responsable du traitement demande, à celle-ci, sur le document grâce auquel il collecte ses données, si elle souhaite exercer le droit d'opposition, institué à l'article 12, § 1er, alinéa 3, de la loi.

Lorsque les données à caractère personnel sont collectees auprès de la personne concernee, autrement que par écrit, le responsable du traitement demande, à celle-ci, si elle souhaite exercer le droit d'opposition, institué à l'article 12, § 1er, alinéa 3, de la loi, soit sur un document qu'il lui communique à cette fin au plus tard deux mois après la collecte des données à caractère personnel, soit par tout moyen technique qui permet de conserver la preuve que la personne concernée a eu la possibilité d'exercer son droit.

Art. 35

Lorsque les données à caractère personnel ne sont pas obtenues auprès de la personne concernée, le responsable du traitement, soumis à l'article 9, § 2, c), de la loi, lui demande, par écrit, si elle souhaite exercer le droit d'opposition, institué à l'article 12, § 1er, alinéa 3, de la loi.

 

 

close