1- exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les
informations, procéder aux communications ou prendre les mesures demandées ; ou
2- refuser de donner suite à ces demandes. Il incombe au responsable du traitement de démontrer le caractère
manifestement infondé ou excessif de la demande.
Article 422 : Confirmation de l’identité
Sans préjudice des dispositions de l'article 399, lorsque le responsable du traitement a des doutes raisonnables quant
à l'identité de la personne physique présentant la demande visée aux articles 437 et 443, il peut demander que lui
soient fournies des informations supplémentaires nécessaires pour confirmer l'identité de la personne concernée.
Article 423 : Icônes normalisées
Les informations à communiquer aux personnes concernées en application des articles 415 et 416 peuvent être
fournies accompagnées d'icônes normalisées afin d'offrir une bonne vue d'ensemble, facilement visible,
compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique,
elles sont lisibles par machine.
Article 424 : Protection des données dès la conception et la protection des données par défaut
Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des
finalités du traitement ainsi que des risques, dont le degré́ de probabilité́ et de gravité varie, que présente le traitement
pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de
la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et
organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes
relatifs à la protection des données, tels que la minimisation des données, de façon effective et à assortir le traitement
des garanties nécessaires afin de répondre aux exigences du présent Livre et de protéger les droits de la personne
concernée.
Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir
que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité́ spécifique
du traitement sont traitées. Ces mesures s'appliquent à la quantité́ de données à caractère personnel collectées, à
l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité́ . En particulier, ces mesures
garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre
indéterminé́ de personnes physiques sans l'intervention de la personne physique concernée.
Article 425 : Les obligations de confidentialité
Le traitement des données à caractère personnel est confidentiel. Il est effectué exclusivement par des personnes qui
agissent sous l’autorité du responsable du traitement et seulement sur ses instructions, sauf en vertu d’obligations
légales contraires.
Article 426 : Les obligations de sécurité
Afin de garantir la sécurité des données à caractère personnel, le responsable du traitement et/ou son sous-traitant
doivent mettre en œuvre les mesures techniques et d'organisation appropriées pour protéger les données à caractère
personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non
autorisés, l'interception notamment lorsque le traitement comporte des transmissions de données dans un réseau,
ainsi que contre toute autre forme de traitement illicite.
Ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en œuvre, un niveau de
sécurité approprié tenant compte, d'une part, de l'état de la technique en la matière et des frais qu'entraîne
l'application de ces mesures et, d'autre part, de la nature des données à protéger et des risques potentiels.