Personne concernée : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

La personne concernée désigne, au sens de l'article 4 paragraphe 1 du Règlement (UE) 2016/679 (RGPD), la personne physique identifiée ou identifiable à laquelle se rapportent des données à caractère personnel faisant l'objet d'un traitement.

La personne concernée désigne, au sens de l'article 4 paragraphe 1 du Règlement (UE) 2016/679 (RGPD), la personne physique identifiée ou identifiable à laquelle se rapportent des données à caractère personnel faisant l'objet d'un traitement. Cette définition place la personne concernée au cœur du dispositif de protection mis en place par le règlement, en lui reconnaissant un faisceau de droits opposables au responsable de traitement et au sous-traitant.

L'enjeu pratique de cette qualification est central. Tout traitement de données personnelles produit nécessairement une personne concernée, dont les droits doivent être respectés à toutes les étapes du traitement, depuis la collecte jusqu'à l'effacement. La méconnaissance de ces droits expose à des sanctions civiles et administratives, indépendamment de la qualité substantielle du traitement effectué.

La définition exclut les personnes morales du champ de la personne concernée. Le RGPD s'applique exclusivement aux données relatives aux personnes physiques. Les informations relatives aux entreprises, associations ou administrations échappent en principe au règlement, sauf lorsqu'elles permettent d'identifier directement ou indirectement les personnes physiques qui les composent (dirigeants, salariés, contacts commerciaux).

Vous souhaitez sécuriser le respect des droits des personnes concernées ? Le Cabinet Aurore Bonavia accompagne les organisations dans la gestion des demandes d'exercice des droits RGPD. → Voir l'accompagnement en droit du numérique

La définition large de l'identifiabilité

L'article 4 paragraphe 1 du RGPD précise les contours de la notion d'identifiabilité :

« Est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »

Cette définition retient une conception extensive de l'identifiabilité. Une personne est identifiable dès lors qu'il est possible, par des moyens raisonnables, de remonter à son identité à partir des informations disponibles. La CJUE a précisé dans l'arrêt Breyer du 19 octobre 2016 (C-582/14) qu'une adresse IP dynamique constitue une donnée personnelle dès lors que le fournisseur d'accès dispose des moyens légaux d'identifier l'abonné correspondant, même si l'éditeur du site n'a pas directement cette information.

Le considérant 26 du RGPD précise que pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens raisonnablement susceptibles d'être utilisés, soit par le responsable de traitement soit par toute autre personne, pour identifier la personne. Cette approche fonctionnelle exclut les hypothèses purement théoriques d'identification, mais inclut les recoupements pratiquement réalisables avec des données accessibles à des coûts raisonnables.

Les catégories d'identifiants courants

La pratique a identifié plusieurs catégories d'identifiants susceptibles de rattacher une donnée à une personne concernée :

  • les identifiants directs : nom, prénom, numéro de sécurité sociale, numéro de téléphone, adresse postale, adresse électronique, photo identifiante ;
  • les identifiants indirects : combinaisons d'éléments qui, prises ensemble, permettent l'identification (date de naissance + lieu de résidence + profession dans une commune de petite taille) ;
  • les identifiants techniques en ligne : adresse IP, identifiants de cookies, identifiants publicitaires mobiles (IDFA, AAID), empreintes de navigateur (browser fingerprinting) ;
  • les données biométriques : empreintes digitales, reconnaissance faciale, scan de l'iris, signature dynamique, reconnaissance vocale ;
  • les données génétiques : séquences d'ADN, données issues d'analyses génétiques, profils génomiques ;
  • les données de localisation : coordonnées GPS, adresses de connexion, données de géolocalisation des smartphones.

L'évolution technologique enrichit constamment ce répertoire. Les technologies de reconnaissance comportementale (rythme de frappe au clavier, manière de tenir le téléphone, schémas de navigation) génèrent de nouvelles catégories d'identifiants soumis au RGPD dès lors qu'elles permettent l'identification individuelle.

Les huit droits de la personne concernée

Le RGPD reconnaît à la personne concernée un faisceau de huit droits opposables au responsable de traitement et, dans certaines hypothèses, au sous-traitant :

  • le droit à l'information (articles 13 et 14) qui impose au responsable de traitement de communiquer à la personne concernée, lors de la collecte ou ultérieurement, l'identité du responsable, les finalités du traitement, les bases légales, les destinataires, les durées de conservation, les transferts éventuels et les droits dont elle dispose ;
  • le droit d'accès (article 15) qui permet à la personne concernée d'obtenir confirmation que des données la concernant sont traitées et accès à ces données, accompagnée des informations sur le traitement ;
  • le droit de rectification (article 16) qui permet d'obtenir la correction des données inexactes ou incomplètes ;
  • le droit à l'effacement ou droit à l'oubli (article 17) qui permet d'obtenir la suppression des données dans plusieurs hypothèses limitativement énumérées (données plus nécessaires, retrait du consentement, traitement illicite, opposition justifiée) ;
  • le droit à la limitation du traitement (article 18) qui permet d'obtenir le gel temporaire du traitement dans l'attente d'une régularisation ou d'une décision ;
  • le droit à la portabilité (article 20) qui permet à la personne concernée de récupérer ses données dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement ;
  • le droit d'opposition (article 21) qui permet à la personne concernée de s'opposer pour des raisons tenant à sa situation particulière à un traitement fondé sur la mission d'intérêt public ou les intérêts légitimes du responsable, et de s'opposer sans condition à un traitement à des fins de prospection ;
  • le droit de ne pas faire l'objet d'une décision automatisée (article 22) qui interdit, sauf exceptions, les décisions produisant des effets juridiques fondées exclusivement sur un traitement automatisé incluant le profilage.

Les modalités d'exercice des droits

L'article 12 du RGPD organise les modalités d'exercice des droits par la personne concernée. Le responsable de traitement doit faciliter cet exercice et y répondre dans un délai d'un mois à compter de la réception de la demande, prorogeable de deux mois en cas de complexité. Le défaut de réponse dans ce délai expose à un recours devant l'autorité de contrôle (CNIL en France) ou à une action judiciaire.

La pratique impose plusieurs aménagements opérationnels pour permettre l'exercice effectif des droits :

  • la mise en place d'un canal de contact dédié identifié dans la politique de confidentialité (adresse email DPO, formulaire en ligne, courrier postal) ;
  • la mise en place d'une procédure interne de gestion des demandes, garantissant le respect du délai d'un mois et la traçabilité des actions accomplies ;
  • la vérification de l'identité du demandeur, qui ne peut toutefois pas excéder ce qui est strictement nécessaire pour éviter les divulgations indues ;
  • la réponse complète à la demande, accompagnée le cas échéant des données personnelles dans un format compréhensible et exploitable ;
  • la gratuité de la première réponse, le responsable ne pouvant facturer que les demandes manifestement abusives ou répétitives.

L'article 12 paragraphe 6 du RGPD permet au responsable de traitement de demander un complément d'information si des doutes raisonnables existent sur l'identité du demandeur. Cette vérification doit toutefois rester proportionnée et ne pas excéder ce qui est strictement nécessaire pour éviter les usurpations d'identité.

Spécificité juridique sur les recours et les sanctions

L'article 77 du RGPD ouvre à la personne concernée un droit de réclamation auprès de l'autorité de contrôle (la CNIL en France). La réclamation peut être déposée par tout moyen (formulaire en ligne, courrier, demande sur place) sans formalisme particulier ni assistance obligatoire d'un avocat. La CNIL est tenue d'instruire la réclamation et d'informer le demandeur du suivi accordé dans un délai de trois mois.

L'article 79 du RGPD ouvre par ailleurs à la personne concernée un droit à un recours juridictionnel effectif contre le responsable de traitement ou le sous-traitant, indépendamment de toute saisine préalable de l'autorité de contrôle. L'action peut être introduite devant les juridictions de l'État membre où le responsable a son établissement principal ou devant celles où la personne concernée a sa résidence habituelle.

L'article 82 du RGPD organise enfin un régime de responsabilité civile propre au règlement. Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du RGPD peut obtenir réparation auprès du responsable de traitement ou du sous-traitant. La CJUE a précisé dans l'arrêt UI / Österreichische Post du 4 mai 2023 (C-300/21) que la simple violation du règlement ne suffit pas à fonder un droit à réparation : la personne demandant indemnisation doit démontrer un dommage matériel ou moral concret, sans qu'un seuil de gravité particulier ne soit toutefois exigé.

L'action de groupe prévue par la loi n° 2018-493 du 20 juin 2018 et l'article 80 du RGPD permet aux associations habilitées de représenter en justice les personnes concernées victimes de violations du règlement. Cette voie procédurale, rare en pratique, ouvre néanmoins une perspective contentieuse significative pour les violations de masse affectant des cohortes importantes de personnes.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de personne concernée

  • la mise en place de procédures internes de gestion des demandes d'exercice des droits ;
  • la rédaction des canaux de contact dédiés et des modèles de réponse types ;
  • la formation des équipes opérationnelles à l'identification et au traitement des demandes ;
  • la défense face aux réclamations déposées par des personnes concernées auprès de la CNIL ;
  • la défense face aux actions civiles fondées sur l'article 82 du RGPD ;
  • l'accompagnement des personnes concernées souhaitant exercer leurs droits face à des responsables de traitement défaillants ;
  • les actions en réparation pour les personnes concernées victimes de violations caractérisées ;
  • la rédaction des politiques de confidentialité conformes aux articles 13 et 14 du RGPD ;
  • la défense face aux actions de groupe en matière de protection des données personnelles.

En savoir plus sur l'accompagnement du cabinet : avocat RGPD.

Sources : Règlement (UE) 2016/679 (RGPD) art. 4.1, art. 12 à 22, art. 77, art. 79, art. 82, considérant 26, loi n° 78-17 du 6 janvier 1978 modifiée, loi n° 2018-493 du 20 juin 2018 sur la protection des données personnelles, jurisprudence CJUE 19 octobre 2016 (Breyer C-582/14), CJUE 4 mai 2023 (UI / Österreichische Post C-300/21), CNIL guide pratique sur les droits des personnes. Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.