La définition des données sensibles est donnée par le RGPD. Il s’agit d’une catégorie de données personnelles, notion également définie et sur laquelle on va revenir. Plus précisément, cette catégorie reçoit un niveau de protection juridique supplémentaire, justement en raison de son caractère “sensible”.
L’idée générale est que ces données relèvent de sphères de la vie privée particulièrement protégées en droit. Il s’agit d’informations dont la divulgation pourrait avoir des conséquences sur la vie privée des individus et dans certains cas porter atteinte à leurs droits constitutionnels. On pense par exemple à des informations sur leur orientation religieuse.
Les données sensibles sont donc une sous-catégorie de l’ensemble des données personnelles. Quelle est leur définition ? Comment les protéger ? Quelles sont les obligations supplémentaires imposées par les textes aux DPO en charge du RGPD ? C’est ce qu’on va voir dans cet article !
Les données sensibles au sein des données personnelles
Revenons d’abord sur la notion plus générale de données personnelles. Pour rappel, une donnée personnelle est, selon la CNIL, une “information se rapportant à une personne physique identifiée ou identifiable”.
L’identification de la personne peut se faire directement (c’est votre nom, par exemple) ou indirectement, (votre numéro de téléphone vous identifie). De la même manière, une seule donnée peut suffire à rendre la personne identifiable (encore une fois, on pense à votre nom), ou bien c’est le croisement de plusieurs informations qui vous rend identifiable.
A noter que la définition des données personnelles se rapporte bien à une personne physique. Autrement dit, le RGPD ne protège pas les données des entreprises qui ne sont pas des personnes physiques.
Un des exemples de cette distinction est qu’il est possible d’envoyer des campagnes d’email à des adresses professionnelles, comme “contact@entreprise.com” sans respecter les restrictions du RGPD en matière de prospection par email.
On a vu ce que recouvrait la notion de données personnelles. Les données sensibles sont une sous-catégorie de cet ensemble, sur laquelle on va se pencher maintenant.
Définition des données sensibles par la CNIL
La CNIL donne une définition des données sensibles :
“Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.”
En d’autres termes, les données sensibles sont des données personnelles avec des caractéristiques supplémentaires, qui tiennent en la nature de l’information concernée. Ces informations portent sur des éléments particulièrement protégées par la loi, ce qui justifie que ces données fassent l’objet d’obligations légales plus strictes.
Plus précisément, il est en principe interdit d’opérer un traitement de données sensibles. Cependant, certains critères peuvent en justifier la collecte et l’utilisation, notamment le consentement exprès de la personne concernée.
Ce consentement doit respecter les caractéristiques du consentement définies par le RGPD, à savoir un consentement libre, explicite, éclairé, spécifique et univoque. En particulier, l’accord doit porter sur cette catégorie de données spécifiquement et l’information donnée à l’utilisateur doit être particulièrement claire à ce sujet.
Comment protéger les données sensibles que vous traitez ?
Les données sensibles, on l’a compris, sont à protéger particulièrement. Pour cela, plusieurs étapes sont à suivre.
D’abord, le RGPD impose de mener une AIPD, c’est-à-dire une analyse d’impact, avant de commencer le traitement envisagé. Il s’agira d’identifier les facteurs de risques qui pourraient mettre en péril l’intégrité et la sécurité des données concernées.
L’AIPD a pour vocation d’une part d’évaluer si les mesures de protection envisagées sont suffisantes et d’autre part de proposer, justement, des améliorations pour atteindre un niveau de sécurité suffisant.
Le deuxième point-clé pour votre conformité au RGPD dans le maniement de données sensibles est le moment du consentement au traitement de ces données, dont on a déjà parlé. Il est conseillé de vous appuyer sur un outil de recueil des consentements à fort niveau de garantie juridique, comme Witik, pour vous assurer de votre conformité.
Enfin, les données sensibles doivent être encadrées par un niveau de sécurité très élevé pendant la collecte, pendant leur traitement et pendant toute la durée de leur conservation. Des mesures de cybersécurité, comme le chiffrement des jeux de données ou encore l’anonymisation des données, peuvent être envisagées.
A cet égard, il faut noter que le RGPD n’impose pas de mesures techniques spécifiques, pour la raison pratique que les bonnes pratiques en la matière évoluent très vite, plus rapidement que le rythme législatif. En conséquence, c’est aux entreprises de s’assurer que le niveau de protection est suffisant et de sélectionner les meilleures mesures de sécurité en fonction de leur cas particulier.
