Skip to Content

Chapitre 3.4 — La personne concernée

⏱️ TL;DR — Au centre de tous les rôles précédents, il y a la personne concernée : l’être humain dont on traite les données — l’élève, le parent, le stagiaire, le salarié, le prospect. Ce n’est pas un « utilisateur » comme un autre : c’est le titulaire des droits (accès, rectification, effacement, opposition… art. 12-22) et la raison d’être du RGPD, qui protège des personnes, pas « des données » en soi. Point capital, souvent mal compris : la personne concernée n’est jamais « responsable » de ses propres données au sens du RGPD. Elle ne « consent » pas à tout et n’a aucune obligation de conformité : ce sont le responsable et le sous-traitant qui portent les devoirs. Elle, elle a des droits — et tout le reste du dispositif existe pour les honorer.

🎯 Objectifs

  • Identifier la personne concernée dans chaque traitement (et voir qu’il y en a souvent plusieurs).
  • Comprendre pourquoi elle est le titulaire des droits, pas un rôle d’obligations.
  • Corriger l’erreur fréquente : la personne n’est pas « responsable » de ses données.
  • Replacer la personne concernée au centre des autres rôles (RT, ST, DPO).

L’humain au centre

Le RGPD ne protège pas « les données » pour elles-mêmes : il protège les personnes physiques à travers leurs données. La personne concernée, c’est celle qui est identifiée ou identifiable par les données traitées (on l’a définie au chapitre 1.1). Dans un même traitement, il y en a souvent plusieurs catégories :

Contexte FormaCampusPersonnes concernées typiques
LMS d’une écolel’élève (souvent mineur), le parent, l’enseignant
Espace organisme de formationle stagiaire, le formateur, le contact financeur
Site & prospectionle prospect, le visiteur, le client
Vie interne de FormaCampusle salarié, le candidat à un poste

Le même traitement peut donc concerner plusieurs personnes aux intérêts différents : les notes d’un élève concernent l’élève, mais aussi, en partie, ses parents. Bien identifier qui est concerné, c’est savoir qui informer et qui peut exercer des droits.

Titulaire de droits, pas d’obligations

C’est la bascule mentale à opérer. Dans le triangle du RGPD, les rôles ne portent pas la même chose :

La personne concernée est au bout de la chaîne des obligations, pas dedans. Elle dispose des droits des articles 12 à 22 :

  • information (art. 13/14), accès (art. 15), rectification (art. 16), effacement (art. 17), limitation (art. 18), portabilité (art. 20), opposition (art. 21), et un cadre pour la décision automatisée (art. 22).

Et le responsable doit y répondre — en principe gratuitement et dans un délai d’1 mois (Partie 6). La personne, elle, n’a aucune obligation de conformité : elle ne tient pas de registre, ne fait pas d’AIPD, ne signe pas de DPA. Ces devoirs pèsent sur le responsable et le sous-traitant.

⚠️ Piège — « L’utilisateur a coché la case, donc il est responsable de ses données, on est couverts. » Double erreur. D’abord, la personne concernée n’est jamais responsable de traitement de ses propres données au sens du RGPD — ce rôle (art. 4.7) est celui de l’organisme qui décide. Ensuite, obtenir un consentement ne décharge de rien : le responsable reste tenu de la minimisation, de la sécurité, des durées de conservation, etc. Le consentement est une base légale possible, pas un transfert de responsabilité vers la personne.

💡 Réflexe — Quand tu conçois une fonctionnalité, demande-toi « qui est la personne concernée, et comment vit-elle ce traitement ? ». Ce simple déplacement de point de vue — du système vers l’humain — fait émerger les bons réflexes : une information claire, un moyen simple d’exercer ses droits, pas de collecte cachée. Le RGPD, c’est de l’empathie codée.

🔒 Côté personne concernée — Pour un élève ou un parent, être « personne concernée » veut dire une chose très concrète : ces données parlent de moi, et j’ai un pouvoir dessus. Je peux demander à voir ce qui est stocké, faire corriger une erreur, m’opposer à un usage, obtenir l’effacement quand il n’y a plus de raison de garder. Ce n’est pas une faveur qu’on m’accorde : c’est un droit que le responsable a l’obligation d’honorer. Le rôle du dev est de rendre ces droits faciles à exercer, pas de les enterrer dans un formulaire.

📚 Le texte — Le RGPD ne consacre pas un article unique « personne concernée » : la notion irrigue tout le règlement, à commencer par l’objet (art. 1er : protéger les personnes physiques) et la définition de la donnée personnelle (art. 4.1). Ses droits sont regroupés au chapitre III (art. 12 à 23). Pour les mineurs, l’art. 8 prévoit un régime spécifique (consentement numérique à 15 ans en France — voir Partie 5).

✏️ Exercices

Exercice 1 — Qui est concerné ? Sur une fiche « bulletin scolaire » qui affiche le nom de l’élève, ses notes, un commentaire de l’enseignant et le nom du parent responsable légal, combien de personnes concernées identifies-tu, et lesquelles ?

✅ Solution

Au moins trois catégories : l’élève (nom, notes — le concerné principal), l’enseignant (le commentaire, signé, est une donnée le concernant) et le parent (nommé comme responsable légal). Un même document met en jeu plusieurs personnes concernées, aux droits potentiellement différents. C’est pourquoi une demande d’accès doit être pensée finement : on ne communique pas les données d’un tiers sans précaution.

Exercice 2 — Vrai ou faux. « Puisque le stagiaire a rempli lui-même le formulaire d’inscription, c’est lui le responsable de ses données ; l’organisme n’est qu’un intermédiaire. » Corrige.

✅ Solution

Faux. Le stagiaire est la personne concernée, titulaire de droits, jamais responsable de traitement de ses propres données. Le responsable, c’est l’organisme de formation qui a décidé de collecter ces informations pour sa finalité (organiser la formation, art. 4.7). Que la personne ait saisi elle-même les données ne change rien à la qualification : c’est toujours l’organisme qui décide pourquoi et comment, donc qui porte les obligations.

🧠 Quiz de révision

1. Qu’est-ce qu’une personne concernée ?

L’être humain identifié ou identifiable dont on traite les données : élève, parent, stagiaire, salarié, prospect. C’est la personne que le RGPD protège — le règlement protège des personnes, pas « des données » en soi.

2. La personne concernée est-elle « responsable » de ses propres données ?

Non, jamais au sens du RGPD. Le responsable de traitement (art. 4.7) est l’organisme qui décide des finalités et des moyens. La personne concernée est titulaire de droits, pas de devoirs de conformité.

3. De quoi dispose la personne concernée ?

De droits (art. 12-22) : information, accès, rectification, effacement, limitation, portabilité, opposition, encadrement de la décision automatisée. Le responsable doit y répondre, en principe gratuitement et sous 1 mois.

4. Obtenir le consentement d’une personne décharge-t-il le responsable ?

Non. Le consentement est une base légale possible, pas un transfert de responsabilité. Le responsable reste tenu de la minimisation, de la sécurité, des durées de conservation, de l’information, etc. La personne ne « prend » aucune obligation en consentant.

5. Un même traitement peut-il concerner plusieurs personnes ?

Oui, très souvent. Un bulletin scolaire concerne l’élève, l’enseignant et le parent ; leurs droits peuvent différer. Bien identifier qui est concerné, c’est savoir qui informer et qui peut exercer quels droits.


Chapitre suivant : Le DPO / délégué — le pilote de la conformité qui conseille et contrôle le responsable, sans jamais décider à sa place.

Last updated on