Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Mardi 28 avril 2026
Accueil/RGPD/Article 12 RGPD : modalités d'exercice des droits
RGPD

Article 12 RGPD : modalités d'exercice des droits

Article 12 RGPD : transparence, délais d'1 mois, gratuité, vérification d'identité, refus motivé. Analyse paragraphe par paragraphe par un docteur en droit.

Par Thiebaut DevergrannePublie le 28 avril 2026Mis a jour le 28 avril 202616 min de lecture
Sommaire
  1. Ce que dit l’article 12 du RGPD
  2. Art. 12(1) : transparence et accessibilité de l’information
  3. Art. 12(2) : faciliter l’exercice des droits
  4. Art. 12(3) : le délai d’un mois
  5. Art. 12(4) : la motivation du refus
  6. Art. 12(5) : la gratuité, principe et exceptions
  7. Art. 12(6) : la vérification d’identité
  8. Art. 12(7) et 12(8) : les icônes normalisées
  9. Articulation avec les autres articles du RGPD
  10. Cas pratiques
  11. Ce qu’il faut retenir
  12. FAQ

L’Art. 12 du RGPD est la disposition la plus utilisée du règlement — et probablement la plus mal appliquée. Chaque fois qu’une personne adresse à votre organisation une demande d’accès, d’effacement, de rectification, d’opposition ou de portabilité, c’est l’Art. 12 qui fixe les règles du jeu : sous quelle forme répondre, dans quel délai, à quel coût, comment vérifier l’identité du demandeur, comment motiver un refus. La CNIL en a fait le premier motif de mise en demeure depuis 2020, et plusieurs des sanctions récentes — Free Mobile à 300 000 € (SAN-2022-022), SAF Logistics à 200 000 € (SAN-2024-008) — sont des manquements purs à l’Art. 12.

Ce que dit l’article 12 du RGPD

L’Art. 12 s’intitule « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée ». Sa fonction est procédurale : il fixe le cadre commun applicable aux droits substantiels prévus aux Art. 13 à 22. Aucune des dispositions sur les droits ne se lit indépendamment de l’Art. 12 — c’est la pièce maîtresse du dispositif.

Sa structure en huit paragraphes :

  • l’Art. 12(1) impose une information transparente, accessible et concise ;
  • l’Art. 12(2) oblige à faciliter l’exercice des droits ;
  • l’Art. 12(3) fixe le délai de réponse à un mois, prorogeable de deux mois supplémentaires ;
  • l’Art. 12(4) impose une motivation en cas de refus et l’information sur les voies de recours ;
  • l’Art. 12(5) pose la règle de gratuité, avec deux exceptions strictement encadrées ;
  • l’Art. 12(6) autorise une vérification d’identité raisonnable ;
  • l’Art. 12(7) prévoit l’usage d’icônes normalisées ;
  • l’Art. 12(8) délègue à la Commission le pouvoir d’adopter ces icônes par actes délégués.

L’Art. 12 ne crée pas les droits — il en organise l’effectivité. Sa violation est sanctionnée au plafond bas de l’Art. 83(5)(b) : jusqu’à 20 M€ ou 4 % du chiffre d’affaires mondial.

Art. 12(1) : transparence et accessibilité de l’information

Le premier paragraphe pose un principe général : « Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 et procéder à toute communication au titre des articles 15 à 22 et de l’article 34 d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».

Cette exigence de clarté n’est pas cosmétique. Le CEPD, dans ses Lignes directrices 01/2022 sur le droit d’accès (adoptées le 28 mars 2023), précise que la lisibilité de la communication conditionne la validité même de l’exercice du droit. Une politique de confidentialité pleine de jargon technique ou juridique ne satisfait pas l’Art. 12(1) — c’est ce que la CNIL a sanctionné chez Clearview AI (SAN-2022-019, 20 M€) et plus récemment dans plusieurs mises en demeure 2024-2026.

L’exigence de format

Le texte précise que l’information est « fournie par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique ». La règle pratique : si la demande arrive par e-mail, la réponse part par e-mail. Si elle arrive par voie postale, la réponse peut suivre le même canal. Le responsable de traitement ne peut pas imposer un canal qui complique l’exercice du droit (ex. obliger à se déplacer en agence pour une demande d’accès envoyée en ligne).

L’oral est admis si la personne le demande et si son identité est démontrée par un autre moyen. C’est typiquement le cas du téléconseiller qui répond à une demande d’effacement après authentification du compte.

Adaptation à l’enfant

L’Art. 12(1) précise que « lorsque les informations sont destinées spécifiquement à un enfant », la formulation doit être adaptée. C’est le fondement des « politiques jeunesse » que les plateformes éditent pour les services destinés aux mineurs. La CNIL a publié en 2021 huit recommandations sur les droits des mineurs qui détaillent ce niveau d’exigence.

Art. 12(2) : faciliter l’exercice des droits

L’Art. 12(2) est la disposition la plus opérationnelle du RGPD : « Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22 ».

Le verbe « facilite » est l’opposé exact de « tolère ». Il impose une démarche proactive. Concrètement, le responsable de traitement doit :

  • mettre à disposition au moins un canal dédié à l’exercice des droits (formulaire en ligne, adresse e-mail spécifique, espace personnel) ;
  • éviter les obstacles techniques (captchas excessifs, authentification disproportionnée, formulaires interminables) ;
  • accepter les demandes formulées en langage courant — « je veux récupérer mes données » vaut demande au titre de l’Art. 15 ;
  • former ses équipes en première ligne (support, RH, accueil) à reconnaître et traiter une demande RGPD.

La CNIL a mis en demeure plusieurs grands acteurs entre 2023 et 2026 pour ne pas avoir mis en place de canal accessible. Dans la sanction Free Mobile (SAN-2022-022, 300 000 €), la délibération relève notamment que les demandes étaient mal orientées en interne, ce qui aboutissait à des non-réponses. La sanction n’est pas dans le refus de répondre — elle est dans l’absence d’organisation.

Le couplage avec l’Art. 11

Le texte précise que « dans les cas visés à l’Art. 11(2) — données qui ne permettent pas l’identification de la personne — le responsable du traitement ne refuse pas de donner suite à la demande visée aux articles 15 à 22, à moins qu’il ne démontre qu’il n’est pas en mesure d’identifier la personne concernée ». Cette articulation est essentielle pour les services pseudonymisés ou les services sans compte. Le responsable peut demander des informations supplémentaires permettant d’identifier la personne — mais ne peut pas refuser systématiquement.

Art. 12(3) : le délai d’un mois

C’est la disposition la plus fréquemment violée du RGPD. Le texte est pourtant précis : « Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande ».

Le point de départ

Le délai court à compter de la réception de la demande, pas de son orientation interne. Si une personne envoie sa demande à une adresse contact générale et qu’elle est transférée trois semaines plus tard au DPO, le délai a déjà couru pour ces trois semaines. C’est la raison pour laquelle l’Art. 12(2) impose l’organisation interne : sans cela, l’Art. 12(3) est impossible à respecter.

La prorogation de deux mois

L’Art. 12(3) autorise une prorogation : « Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes ». Trois conditions cumulatives :

  1. la prolongation doit être justifiée par la complexité ou le volume — pas par la commodité ;
  2. la personne doit être informée de la prolongation dans le mois initial — si l’information arrive le 35e jour, la prolongation est invalide ;
  3. la motivation de la prolongation doit être communiquée à la personne.

Dans ma pratique, je vois régulièrement des organisations utiliser la prolongation comme un outil de routine. C’est un abus que la CNIL relève sans difficulté en contrôle. La prolongation est l’exception ; le délai d’un mois est la règle.

Les sanctions liées au délai

Plusieurs délibérations CNIL sanctionnent spécifiquement le non-respect du délai :

  • SAN-2022-022 (Free Mobile, 300 000 €) — défaut de réponse dans les délais à des demandes d’accès et d’effacement ;
  • SAN-2024-008 (SAF Logistics, 200 000 €) — absence totale de réponse aux demandes des salariés ;
  • SAN-2023-013 (Doctissimo, 380 000 €) — réponses tardives et incomplètes ;
  • SAN-2024-001 (Hubside, 525 000 €) — délai non respecté à grande échelle.

Le montant n’est pas anecdotique : dès que le manquement est systémique, la CNIL applique le plafond haut.

Art. 12(4) : la motivation du refus

L’Art. 12(4) impose une motivation en cas d’inaction : « Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel ».

Trois éléments obligatoires :

  • les motifs précis du refus, opposables à la personne ;
  • la mention du droit de réclamation auprès de la CNIL (avec lien ou adresse) ;
  • la mention du recours juridictionnel (tribunal judiciaire compétent au sens de l’article 79 RGPD et 226-22-2 du Code pénal).

Un refus sans motivation est un refus illicite — peu importe que le motif aurait été valable au fond. Une réponse type « votre demande ne peut être traitée » ne satisfait pas l’Art. 12(4). C’est l’un des points de contrôle systématiques de la CNIL lors des audits droits des personnes.

Art. 12(5) : la gratuité, principe et exceptions

L’Art. 12(5) pose une règle simple : « Aucun paiement n’est exigé ». La gratuité est la règle.

Les deux exceptions

Le texte autorise deux dérogations strictement encadrées : « Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut soit exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, communications ou prendre les mesures demandées, soit refuser de donner suite à ces demandes ».

Le terme « manifestement » est lourd. Le CEPD interprète ces exceptions de manière restrictive (Lignes directrices 01/2022, §188-194) :

  • une demande répétée plusieurs fois par mois sur le même sujet sans changement de contexte peut être qualifiée d’excessive ;
  • une demande visant clairement à harceler le responsable de traitement (corrélée à un litige par exemple) peut être qualifiée d’infondée ;
  • mais une demande ample, complexe, qui exige un travail important, n’est pas pour autant excessive.

La charge de la preuve repose sur le responsable de traitement — c’est à lui de démontrer le caractère manifestement infondé ou excessif. Sans cette démonstration documentée, la facturation ou le refus sont illicites.

La gratuité de la copie

L’Art. 15(3) précise que « le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée ». La première copie est toujours gratuite — voir mon guide sur le droit d’accès en pratique.

Art. 12(6) : la vérification d’identité

L’Art. 12(6) ouvre une faculté : « Sans préjudice de l’article 11, lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée aux articles 15 à 21, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée ».

C’est ici que se concentrent les pratiques abusives. Beaucoup d’organisations exigent systématiquement une copie de pièce d’identité — c’est une faute. Le CEPD et la CNIL imposent un test de proportionnalité :

  • la vérification doit être proportionnée au risque d’usurpation et à la sensibilité des données traitées ;
  • elle doit être adaptée au canal : si la personne est authentifiée dans son espace client, exiger une pièce d’identité supplémentaire est disproportionné ;
  • la copie de pièce d’identité reçue doit être détruite après vérification — sa conservation est elle-même un traitement illicite.

La CNIL a sanctionné à plusieurs reprises l’exigence systématique de pièce d’identité : c’est un obstacle déguisé à l’exercice des droits, qui contredit l’Art. 12(2). L’analogie utile : la vérification d’identité doit être au moins aussi exigeante que la procédure d’inscription au service, mais pas plus.

Art. 12(7) et 12(8) : les icônes normalisées

L’Art. 12(7) prévoit que « les informations à communiquer aux personnes concernées en application des articles 13 et 14 peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu ».

À ce jour, la Commission n’a pas adopté les actes délégués prévus par l’Art. 12(8) qui auraient harmonisé ces icônes. Le système reste donc volontaire — mais plusieurs organisations (notamment dans le secteur public et les grands éditeurs SaaS) ont développé leurs propres pictogrammes pour accompagner leur politique de confidentialité. C’est une bonne pratique qui anticipe une éventuelle norme.

Articulation avec les autres articles du RGPD

L’Art. 12 ne se lit jamais seul. Il s’articule avec :

Toute violation d’un droit substantiel — refus d’accès, défaut d’effacement, ignorance d’une opposition — emporte aussi violation de l’Art. 12 si les modalités procédurales (délai, motivation, gratuité) ne sont pas respectées. La CNIL cumule régulièrement les qualifications dans ses délibérations.

Co-responsabilité et sous-traitance

Lorsque le traitement implique un sous-traitant (Art. 28), l’Art. 12 reste à la charge du responsable de traitement, mais le sous-traitant doit assister celui-ci au titre de l’Art. 28(3)(e). Concrètement, le DPA doit prévoir des SLAs internes permettant au responsable de tenir le délai d’un mois externe.

En cas de co-responsabilité au sens de l’Art. 26, l’accord entre co-responsables doit attribuer clairement la fonction de point de contact pour l’exercice des droits.

Cas pratiques

Demande d’accès envoyée par e-mail à contact@. Le délai d’un mois court dès la date de réception du courriel, indépendamment de l’orientation interne. Le responsable doit organiser la transmission rapide au DPO ou à l’équipe dédiée. Une réponse au 35e jour est tardive.

Demande d’effacement refusée pour conservation légale. Le refus est licite au fond — mais la motivation doit citer précisément la base légale (par exemple le délai de prescription de l’article L. 110-4 du Code de commerce ou les obligations comptables). Sans citation, le refus est invalide en la forme.

Demande adressée à une plateforme SaaS multi-tenant. Si la plateforme est sous-traitante, elle doit assister le client (responsable de traitement) dans le délai contractuel. Le délai d’un mois opposable à la personne s’applique au responsable, pas à la plateforme.

Personne qui adresse une demande sans préciser sa nature. « Je veux que vous arrêtiez de me harceler de mails » vaut demande d’opposition au sens de l’Art. 21. L’Art. 12(2) impose au responsable de qualifier la demande dans le sens le plus favorable, pas de la rejeter au motif qu’elle n’utilise pas les bons mots.

Personne qui demande la copie de toutes ses données. Première copie gratuite. Toute demande de copies supplémentaires peut être facturée au coût administratif réel, documenté.

Ce qu’il faut retenir

  • L’Art. 12 fixe le cadre procédural commun des droits prévus aux Art. 13 à 22 — toute demande RGPD passe par lui.
  • Le délai d’un mois est la règle ; la prolongation de deux mois doit être motivée et notifiée dans le mois initial.
  • La gratuité est la règle ; les exceptions « manifestement infondées ou excessives » sont strictement encadrées et la charge de la preuve repose sur le responsable.
  • La vérification d’identité doit être proportionnée — exiger systématiquement une pièce d’identité est une faute.
  • Le refus doit être motivé, mentionner le droit de saisir la CNIL et le recours juridictionnel.
  • Sanction encourue : plafond haut, jusqu’à 20 M€ ou 4 % du chiffre d’affaires mondial (Art. 83(5)(b)).

FAQ

Le délai d’un mois court-il à partir de la réception de la demande ou de son orientation au DPO ?

Le délai court à compter de la réception de la demande par le responsable de traitement, indépendamment de son orientation interne. Si la demande arrive à une adresse contact générale et est transférée au DPO trois semaines plus tard, le délai a déjà couru. C’est précisément pourquoi l’Art. 12(2) impose une organisation interne robuste : sans cela, l’Art. 12(3) est impossible à respecter et la CNIL sanctionne l’absence d’organisation, pas seulement le retard.

Peut-on toujours demander une pièce d’identité avant de répondre ?

Non. L’Art. 12(6) n’autorise la vérification d’identité supplémentaire qu’en cas de doute raisonnable. Si la personne est authentifiée dans un espace client, si l’e-mail provient de l’adresse de contact connue, si le contexte ne soulève pas de risque d’usurpation, exiger une pièce d’identité est disproportionné — et c’est un manquement à l’Art. 12(2) (obstacle à l’exercice des droits). La CNIL a sanctionné cette pratique à plusieurs reprises.

Quand peut-on facturer une demande RGPD ?

Uniquement lorsque la demande est manifestement infondée ou excessive, et la charge de la preuve repose sur le responsable de traitement (Art. 12(5)). Le CEPD interprète strictement ces exceptions : une demande complexe ou ample n’est pas pour autant excessive. Seuls les cas de répétition abusive, de harcèlement ou d’absence évidente de fondement justifient un paiement — et son montant doit refléter les coûts administratifs réels, documentés.

Que doit contenir un refus de donner suite à une demande ?

Trois éléments obligatoires au titre de l’Art. 12(4) : les motifs précis du refus (avec base légale citée), la mention du droit de saisir la CNIL (avec lien vers cnil.fr/plaintes), et la mention du recours juridictionnel au tribunal judiciaire. Une réponse type « votre demande ne peut être traitée » ne satisfait pas le texte, même si le motif aurait été valable au fond. Sans motivation, le refus est invalide en la forme et la CNIL peut sanctionner.

Quelle articulation entre l’Art. 12 et l’Art. 28 quand on a un sous-traitant ?

L’Art. 12 reste opposable au responsable de traitement, et le délai d’un mois court à son égard. Mais l’Art. 28(3)(e) impose au sous-traitant d’assister le responsable dans la satisfaction des demandes — c’est l’objet de la clause d’assistance dans le DPA. En pratique, le contrat doit prévoir des SLAs internes (typiquement 5 à 10 jours ouvrés) permettant au responsable de tenir son délai externe d’un mois. Sans cette organisation contractuelle, la conformité Art. 12 est compromise.

Vous structurez la procédure d’exercice des droits dans votre organisation et souhaitez sécuriser les délais, la motivation et la traçabilité ? Inscrivez-vous à ma newsletter : chaque semaine, j’analyse les délibérations CNIL et la jurisprudence CJUE sur les droits des personnes — pour comprendre où la CNIL place le curseur et anticiper vos contrôles.

Articles lies

RGPD

Article 17 RGPD : le droit à l'effacement décrypté

28 avril 2026 · 18 min
RGPD

Article 22 RGPD : décision automatisée et profilage

27 avril 2026 · 15 min
RGPD

Article 35 RGPD : quand et comment réaliser une AIPD

26 avril 2026 · 14 min