L'article 12 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit Règlement général sur la protection des données (RGPD), fixe les règles générales relatives à la transparence de l'information fournie aux personnes concernées et aux modalités d'exercice de leurs droits.

Il constitue une disposition transversale, venant encadrer concrètement l'application des droits prévus aux articles 15 à 22 du RGPD. Il vise à garantir que les personnes concernées puissent comprendre leurs droits et les exercer effectivement, dans des conditions claires, accessibles et équitables.

Les autorités de contrôle et les juridictions se réfèrent fréquemment à cet article pour apprécier la conformité des pratiques des responsables de traitement en matière d'information et de gestion des demandes des personnes concernées.

Texte officiel de l'article 12 du RGPD

L'article 12 du RGPD prévoit notamment que :

  • le responsable du traitement prend des mesures appropriées pour fournir à la personne concernée toute information visée aux articles 13 et 14 ainsi que toute communication relative aux articles 15 à 22 et à l'article 34, d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples
  • ces informations sont fournies par écrit ou par d'autres moyens, y compris, le cas échéant, par voie électronique
  • lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l'identité de la personne concernée soit démontrée par d'autres moyens
  • le responsable du traitement facilite l'exercice des droits de la personne concernée
  • le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d'une demande sans retard injustifié et, en tout état de cause, dans un délai d'un mois à compter de la réception de la demande
  • ce délai peut être prolongé de deux mois compte tenu de la complexité et du nombre de demandes, sous réserve d'en informer la personne concernée
  • les informations sont fournies gratuitement, sauf en cas de demandes manifestement infondées ou excessives

Ces règles s'appliquent de manière uniforme dans l'ensemble des États membres.

Principe de transparence

L'article 12 consacre le principe de transparence comme exigence opérationnelle.

Il impose que l'information fournie soit intelligible pour la personne concernée, ce qui suppose une adaptation du langage au public visé et l'exclusion de formulations juridiques obscures ou ambiguës.

La transparence implique également que l'information soit facilement accessible, notamment par des mentions d'information visibles, des politiques de confidentialité structurées et des interfaces claires dans les services numériques.

Ce principe prolonge celui posé à l'article 5, paragraphe 1, point a), du RGPD.

Facilitation de l'exercice des droits

Le responsable du traitement doit faciliter l'exercice des droits reconnus aux personnes concernées.

Cette obligation implique la mise en place de canaux simples et effectifs permettant aux personnes d'adresser leurs demandes, tels qu'une adresse électronique dédiée ou un formulaire accessible.

Le responsable du traitement ne peut opposer des obstacles techniques ou procéduraux excessifs à l'exercice des droits.

Il doit également s'abstenir d'exiger des informations inutiles ou disproportionnées pour traiter la demande.

Délais de réponse

Le responsable du traitement doit répondre à toute demande d'exercice de droit dans un délai d'un mois à compter de sa réception.

Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité particulière ou de nombre élevé de demandes, à condition d'en informer la personne concernée dans le délai initial d'un mois.

L'absence de réponse dans les délais constitue un manquement aux obligations prévues par le RGPD.

Gratuité et limitation des abus

En principe, les informations et actions entreprises à la suite d'une demande d'exercice de droit sont gratuites.

Toutefois, lorsque les demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :

  • exiger le paiement de frais raisonnables tenant compte des coûts administratifs, ou
  • refuser de donner suite à la demande

Il lui appartient alors de démontrer le caractère manifestement infondé ou excessif de la demande.

Vérification de l'identité

Lorsque le responsable du traitement a des doutes raisonnables quant à l'identité de la personne concernée, il peut demander des informations supplémentaires nécessaires pour confirmer cette identité.

Cette vérification doit être proportionnée et ne pas conduire à une collecte excessive de données.

Elle vise à prévenir les accès frauduleux aux données personnelles et à garantir que les droits sont exercés par la personne légitime.

Articulation avec les autres dispositions du RGPD

L'article 12 s'inscrit dans le prolongement :

  • des articles 13 et 14 relatifs à l'information à fournir lors de la collecte des données
  • des articles 15 à 22 relatifs aux droits des personnes concernées
  • de l'article 5 relatif aux principes de licéité, loyauté et transparence

Il constitue la norme procédurale encadrant la mise en œuvre concrète des droits substantiels reconnus par le RGPD.

Le non-respect de l'article 12 peut entraîner des sanctions administratives indépendamment de la licéité du traitement lui-même.

Portée juridique et contrôle

Les autorités de contrôle fondent fréquemment leurs décisions sur des manquements à l'article 12, notamment en cas de défaut de réponse dans les délais, d'information incomplète ou de complexité excessive des démarches imposées aux personnes concernées.

La jurisprudence européenne souligne l'importance de l'effectivité des droits, qui ne doivent pas rester théoriques ou illusoires.

Implications pratiques pour les responsables de traitement

Les organisations doivent mettre en place des procédures internes permettant :

  • de recevoir et d'identifier les demandes d'exercice de droits
  • d'en assurer le traitement dans les délais légaux
  • d'en conserver une traçabilité
  • de fournir des réponses claires et complètes

Les supports d'information et les politiques de confidentialité doivent être rédigés dans un langage accessible et mis à jour régulièrement.

Jurisprudence relative à l'article 12

L'article 12 du RGPD fait l'objet d'une application jurisprudentielle régulière, tant au niveau des autorités de contrôle nationales qu'au niveau européen. La CNIL sanctionne fréquemment les manquements aux obligations de transparence et de réponse dans les délais prévus par cet article. Les décisions montrent que l'absence de réponse ou une réponse tardive à une demande d'exercice de droit constitue un manquement autonome, indépendamment de la licéité du traitement lui-même.

Les autorités de contrôle européennes considèrent que les exigences de clarté, de concision et d'intelligibilité prévues à l'article 12 imposent une adaptation réelle du langage et de la présentation des informations au public visé. Les politiques de confidentialité rédigées en termes juridiques complexes, comportant des renvois multiples ou structurées de manière peu accessible sont régulièrement épinglées comme non conformes au principe de transparence.

La jurisprudence souligne également que l'obligation de faciliter l'exercice des droits implique une démarche proactive du responsable du traitement. Les mécanismes imposant des obstacles excessifs, tels que l'obligation de se déplacer physiquement, de fournir des informations disproportionnées ou de naviguer dans des arborescences complexes, sont considérés comme contraires à l'article 12. La Cour de justice de l'Union européenne a rappelé, dans plusieurs arrêts, que l'effectivité des droits constitue un principe fondamental du RGPD.

Recommandations de la CNIL et du CEPD

La Commission nationale de l'informatique et des libertés (CNIL) a publié des lignes directrices et des recommandations pratiques relatives à la transparence et à l'information des personnes concernées. Elle recommande aux responsables de traitement de mettre en place des canaux dédiés pour le traitement des demandes d'exercice de droits, tels qu'une adresse électronique spécifique ou un formulaire en ligne, et de documenter la réception et le traitement de chaque demande dans un registre interne.

Le Comité européen de la protection des données (CEPD) a adopté des lignes directrices 3/2019 sur la transparence, qui précisent les modalités concrètes d'application de l'article 12. Le CEPD recommande l'utilisation de formats structurés et standardisés, tels que les tableaux ou les icônes, pour faciliter la compréhension des informations. Il insiste également sur la nécessité d'adapter les informations à des publics spécifiques, notamment les enfants, les personnes vulnérables ou les utilisateurs non francophones.

La CNIL et le CEPD soulignent que le respect du délai d'un mois prévu par l'article 12 suppose une organisation interne efficace, incluant la désignation de personnes responsables du traitement des demandes, la mise en place de procédures documentées et la formation des équipes concernées. Ils recommandent également de prévoir des mécanismes de vérification de l'identité proportionnés au risque et d'informer systématiquement la personne concernée de l'avancement de sa demande.

L'article 12 du RGPD constitue ainsi le socle procédural de l'effectivité des droits des personnes concernées. Il impose une exigence de transparence, de simplicité et de diligence dans les relations entre le responsable du traitement et la personne concernée. Sa maîtrise est indispensable pour garantir l'effectivité des droits, prévenir les contentieux et démontrer une conformité opérationnelle au règlement.