News : Journée européenne de la protection des données. Gagnez des accompagnements et des abonnements en vous inscrivant à notre quiz du 28 Janvier !

Logo Witik

Définition RGPD des données sensibles

e RGPD encadre le traitement des données personnelles mais aussi des données sensibles. Cette catégorie de données particulière est définie par le texte.
données sensibles

Table des matières

Partager l'article
Partager sur facebook
Partager sur linkedin
Partager sur twitter
Partager sur email

Le RGPD encadre le traitement des données personnelles mais aussi des données sensibles. Cette catégorie de données particulière est définie par le texte. En raison de leur caractère, la divulgation de ces informations peut porter plus gravement atteinte à la liberté des personnes concernées. C’est pourquoi ces données dites sensibles sont plus strictement protégées par la réglementation. 


Pour le DPO en charge du RGPD, il est important de bien comprendre précisément ce que recouvre la notion de données sensibles pour pouvoir identifier tout cas de traitement potentiel de ce type de données opéré par son organisation. Que dit le texte ? 


Votre entreprise peut-elle légalement traiter des données sensibles et pour quoi faire ? Quels règles particulières s’appliquent à la protection de ces données ? Comment les manipuler ?



Données sensibles : définition


Le RGPD donne une définition des données sensibles dans son article 9. La donnée sensible est ainsi celle qui révèle un certain type d’information sur la personne. 


Liste des données sensibles au sens du RGPD


L’article liste donc les différentes informations sur lesquelles portent les données sensibles :


  • Origine raciale ou ethnique ;
  • Opinions politiques,
  • Convictions religieuses ou philosophiques,
  • Appartenance syndicale ;
  • Données génétiques et données biométriques aux fins d’identifier une personne physique de manière unique ; 
  • Données de santé ;
  • Données concernant la vie sexuelle ou l’orientation sexuelle.

  • Le paragraphe clôt cette liste en affirmant le principe de base de gestion de ces données à caractère sensible : le traitement de ces données est en principe interdit. 


    Cas particuliers


    Le texte prévoit un certain nombre de cas particuliers de données qui ne sont pas sensibles au sens de l’article 9 mais qui font l’objet d’une protection particulière. 


    C’est le cas notamment des données à caractère personnel portant sur les condamnations pénales et les infractions. C’est l’article 10 du RGPD qui précise le sort de ces données. Si elles ne sont pas considérées comme sensibles à strictement parler, elles font néanmoins l’objet d’une attention particulière, puisque leur traitement ne peut se faire que sous le contrôle d’une autorité publique. C’est cette autorité seule qui peut tenir un registre du casier judiciaire, par exemple. Il n’est pas absolument interdit d’utiliser ces données, mais cet usage doit être prévu par la loi et encadré par une autorité compétente.


    Les cas dans lesquels il est possible de traiter une donnée sensible


    On l’a vu, il est en principe interdit de traiter les données sensibles, aux termes de l’article 9. Cependant, ce même article vient ensuite lister des cas d’exception dans lesquels l’interdiction ne s’applique pas.


    On peut dégager plusieurs cas de figures : 


    La personne concernée crée l’exception 


    Dans ce cas, c’est la personne concernée par les informations qui donne le droit à un organisme ou une entreprise de traiter la donnée sensible :


    • en donnant son consentement explicite au traitement de la donnée ;
    • en rendant publique la donnée (le caractère public doit être manifeste) ;

    Un intérêt de la personne, considéré comme plus important, est poursuivi


    Le RGPD choisit parfois de privilégier certains droits qui sont considérés comme plus forts que la protection des données : 


  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne ;
  • le traitement est nécessaire dans le cadre de la médecine préventive ou de la médecine du travail ;
  • le traitement est nécessaire à l’exécution des obligations ou des droits de la personne ou bien du responsable du traitement des données dans le cadre notamment du droit du travail ou de la sécurité sociale.

  • Un intérêt plus important d’une autre personne 


    C’est la dernière catégorie d’exceptions, lorsque le traitement est nécessaire : 


  • à la poursuite de motifs d’intérêts publics dans le domaine de la santé publique ; 
  • à des motifs d’intérêt publics importants, à condition qu’ils soient proportionnés et prévus par la loi ; à l’exercice d’un droit en justice ;
  • à l’exercice de leur activité, pour un organisme à but non lucratif comme une fondation, une association, un parti politique ou un syndicat,
  • à condition que la donnée sensible ne soit pas diffusée en dehors de l’organisation ;
  • à des fins de recherche scientifique, de statistiques ou d’archives publiques. 

  • S’il est assez rare pour une entreprise d’entrer dans certaines de ces catégories, il est utile de les avoir en tête pour garantir votre conformité au RGPD. Notamment avec le cas du consentement explicite de la personne concernée, on voit que le principe d’interdiction n’empêche pas dans les faits le traitement des données sensibles, à condition que des critères stricts d’utilisation de la donnée soient remplis. 


    Les critères à respecter pour traiter des données sensibles


    Le premier point est évidemment de s’assurer de se trouver dans un des cas d’exception qu’on vient de mentionner. Il faut également être capable de prouver auprès de la CNIL que vous vous trouvez bien dans le cadre de l’article 9. Cela suppose une documentation RGPD spécifique qui doit être bien tenue à jour. 


    Ensuite, les autres obligations du RGPD doivent être respectées. Ce point est particulièrement important dans le cadre du traitement de données sensibles. On peut mentionner notamment le fait que le traitement doit être proportionné et pertinent au regard des finalités poursuivies.


    Par ailleurs, le niveau d’information de la personne concernée doit être d’autant plus important qu’il s’agit de données sensibles et le critère de transparence du traitement est observé de façon encore plus stricte. Enfin et on va traiter ce point plus loin, la sécurité des données sensibles doit faire l’objet d’une attention particulière. 


    Conseils : bien gérer les données sensibles


    Une faille de sécurité concernant une donnée dite sensible serait potentiellement lourde de conséquences pour la personne concernée. Dans ce contexte, des mesures de précaution sont à prendre pour bien gérer la donnée au sein de votre organisation. A noter que des logiciels RGPD peuvent vous aider à prendre ces mesures de sécurité.


    protection des données sensibles

    Limiter l’accès à la donnée


    La majorité des failles de sécurité a une origine humaine. On pense par exemple au vol de données qui fait suite à une opération de phishing. Il est donc utile de cloisonner les accès aux données personnelles en général et aux données sensibles en particulier. Ainsi, seules les personnes directement impliquées dans le traitement de ces données devraient y avoir accès. 


    Anonymisation ou pseudonymisation 


    L’idée est ici de protéger l’identité des personnes concernées, y compris en cas de fuite de données. Concrètement, l’anonymisation ou la pseudonymisation des données permet de décorréler l’individu de l’information qui le concerne. Il devient alors impossible de remonter jusqu’à l’identité de la personne concernée en cas de fuite de données. 


    Chiffrement des données sensibles


    Enfin, le chiffrement des données apporte un niveau de sécurité supplémentaire à leur traitement. Non seulement il permet justement de limiter efficacement l’accès à la donnée aux seules personnes impliquées dans les opérations de traitement, mais il protège également les informations en cas de fuite ou de vol de données. En effet, seule une personne possédant la bonne clé de chiffrement pourra déchiffrer la donnée et donc accéder à son contenu. Ainsi, un vol de données devient virtuellement inutile dans le sens où le contenu des informations restera confidentiel. 


    Ces conseils sur la façon de gérer les données sensibles s’applique évidemment également aux données personnelles en général. Néanmoins, tout comme la tenue du registre CNIL concernant ce type de données doit être plus précis, la sécurité de ces données doit faire l’objet d’une attention particulière. Les conséquences pour l’entreprise en cas d’infraction sont également plus lourdes lorsque des données sensibles sont en jeu.