50. Comme la directive 95/46/CE, le Règlement distingue l’informa-tion due par le responsable du traitement à la personne concernée selon que les données sont ou non collectées auprès de la personne concer-née. Dans les deux hypothèses, les informations à communiquer peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électro-nique, elles sont lisibles par machine 113.
1° Les informations à fournir lorsque les données sont collectées auprès de la personne concernée
51. Au moment même où les données sont obtenues auprès de la per-sonne concernée, le responsable du traitement doit lui fournir un socle de base d’informations 114 auxquelles il faut ajouter les informations
com-112 C’est au responsable du traitement de prouver le caractère infondé ou excessif de la demande formée par la personne concernée.
113 Art. 12.7 du Règlement. En vertu de l’article 12.8 du Règlement, la Commission est habilitée à adopter des actes délégués aux fins de déterminer les informations à présenter sous la forme d’icônes ainsi que les procédures régissant la fourniture d’icônes normalisées.
114 Art. 13.1 du Règlement : le responsable du traitement doit fournir toutes les informa-tions suivantes :
plémentaires qui seront nécessaires pour garantir un traitement équitable et transparent 115, sauf à ce que la personne concernée dispose déjà de ces informations 116.
1° l’identité et les coordonnées du responsable du traitement et, le cas échéant, du repré-sentant du responsable du traitement ;
2° le cas échéant, les coordonnées du délégué à la protection des données ;
3° les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
4° lorsque le traitement est fondé sur l’intérêt légitime du traitement, l’indication des inté-rêts légitimes poursuivis par le responsable du traitement ou par le tiers ;
5° les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; et
6° le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un trans-fert de données à caractère personnel vers un pays tiers ou à une organisation internatio-nale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46, 47, ou 49.1, 2e alinéa, du Règlement, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition.
115 Art. 13.2 du Règlement : le cas échéant, le responsable du traitement doit fournir les informations supplémentaires suivantes :
1° la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
2° l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;
3° lorsque le traitement est fondé sur le consentement de la personne concernée (que ce soit pour des données ordinaires ou des catégories particulières de données), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
4° le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
5° des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
6° l’existence d’une prise de décision automatisée, y compris un profilage, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’impor-tance et les conséquences prévues de ce traitement pour la personne concernée.
116 Art. 13.4 du Règlement. Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre informa-tion complémentaire qui serait nécessaire (art. 13.3 du Règlement).
2° Les informations à fournir lorsque les données ne sont pas collectées auprès de la personne concernée
52. Le régime de l’information à fournir par le responsable du traite-ment à la personne concernée a été substantielletraite-ment revu 117. Comme dans l’hypothèse précédente, le responsable du traitement doit fournir à la personne concernée un socle de base d’informations 118 auxquelles il faut ajouter les informations complémentaires qui seront nécessaires pour garantir un traitement équitable et transparent 119. Ces informations doivent être fournies dans un délai raisonnable après avoir obtenu les
117 Art. 14 du Règlement.
118 Art. 14.1 du Règlement : le responsable du traitement doit fournir toutes les informa-tions suivantes :
1° l’identité et les coordonnées du responsable du traitement et, le cas échéant, du repré-sentant du responsable du traitement ;
2° le cas échéant, les coordonnées du délégué à la protection des données ;
3° les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
4° les catégories de données à caractère personnel concernées ;
5° le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;
6° le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un trans-fert de données à caractère personnel à un destinataire dans un pays tiers ou une orga-nisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46, 47 ou 49.1, 2e alinéa, du Règlement, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition.
119 Art. 14.2 du Règlement : le cas échéant, le responsable du traitement doit fournir les informations supplémentaires suivantes :
1° la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
2° lorsque le traitement est fondé sur l’intérêt légitime du traitement, l’indication des inté-rêts légitimes poursuivis par le responsable du traitement ou par le tiers ;
3° l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données ;
4° lorsque le traitement est fondé sur le consentement de la personne concernée (que ce soit pour des données ordinaires ou des catégories particulières de données), l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
5° le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
6° la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ;
7° l’existence d’une prise de décision automatisée, y compris un profilage, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’impor-tance et les conséquences prévues de ce traitement pour la personne concernée.
données à caractère personnel. Ce caractère raisonnable s’apprécie au regard des circonstances particulières dans lesquelles les données à carac-tère personnel sont traitées mais, en tout état de cause, il ne peut pas dépasser un mois. Dans l’hypothèse où les données à caractère person-nel doivent être utilisées aux fins de la communication avec la personne concernée, ces informations doivent lui être fournies au plus tard au moment de la première communication. S’il est envisagé de communi-quer les informations à un autre destinataire, ces informations doivent lui être fournies au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois 120. De manière regrettable, les possibilités de se soustraire à l’information de la personne concernée ont été maintenues et, dans une certaine mesure, élargies 121.
c) Le droit d’accès
53. Si le responsable du traitement est obligé de fournir de l’infor-mation à la personne concernée, celle-ci est aussi en droit de l’interpel-ler pour obtenir des informations sur le traitement de données qui la concernent 122 et pour obtenir l’accès aux données qui le concernent et 120 Voy. art. 14.3 du Règlement. Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement doit, au préalable, four-nir à la personne concernée des informations au sujet de cette autre finalité et toute autre information supplémentaire pertinente.
121 Le responsable du traitement peut se soustraire à cette obligation, pourtant fonda-mentale, dans les hypothèses suivantes (art. 14.5 du Règlement) :
1° lorsque la personne concernée dispose déjà de ces informations ;
2° lorsque la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l’article 89.1 du Règlement, ou dans la mesure où cette obligation est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles ;
3° lorsque l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’état membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ;
4° ou lorsque les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée par le droit de l’Union ou le droit des états membre, y compris une obligation légale de secret professionnel.
122 Il faut toutefois noter l’asymétrie dans le contenu de l’information selon qu’elle doit être fournie par le responsable du traitement ou qu’elle soit demandée par la personne concernée.
qui font l’objet d’un traitement. La première information que la personne concernée est en droit d’exiger du responsable du traitement est de savoir si des données qui la concernent font ou non l’objet d’un traitement. Dans l’affirmative, la personne concernée a le droit d’accéder aux données qui la concernent, ainsi que le droit d’obtenir des informations.
1° Les informations à fournir à la personne concernée
54. Si le responsable du traitement confirme à la personne concernée qu’il traite des données qui la concernent, celle-ci a le droit d’obtenir les informations suivantes 123 :
1) les finalités du traitement ;
2) les catégories de données à caractère personnel concernées ;
3) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
4) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
5) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;
6) le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
7) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
8) l’existence d’une prise de décision automatisée, y compris un pro-filage, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ;
9) lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées prises en ce qui concerne ce transfert.
2° Les modalités du droit d’accès
55. Il demeure à s’entendre sur ce que signifie accéder aux données ainsi que sur la manière d’exercer cet accès. Visiblement, il ne s’agit pas seulement du pouvoir d’en demander copie 124. Par ailleurs, la personne concernée a le droit de demander et d’obtenir une copie des données trai-tées. Lorsque la personne concernée présente sa demande par voie électro-nique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement. Le responsable du traitement ne peut pas exiger de paiement à ce titre sauf lorsque la personne concernée demande une copie supplé-mentaire. Dans ce cas, le responsable du traitement ne peut pas demander plus que le paiement de frais raisonnables tels que ceux-ci sont calcu-lés sur base des coûts administratifs 125. Le Règlement précise que le droit d’obtenir une copie des données ne doit pas porter atteinte aux droits et libertés d’autrui 126.