Données sensibles RGPD : définition, règle générale & exceptions

Qu’est-ce qu’une donnée sensible au regard du RGPD ? [Définition]

Les données sensibles sont des données à caractère personnel (DCP) qui contiennent des informations sensibles : 

• Qui, si elles étaient révélées, pourraient avoir des incidences néfastes sur la vie privée des personnes concernées.
• OU dont le traitement est susceptible de créer des risques pour les personnes concernées. 

Les données sensibles sont en quelque sorte des données plus personnelles que les données personnelles classiques (des données très personnelles). 

Pour ces raisons, ces données sont soumises à des règles juridiques particulières.

Mais précisons que nous parlons uniquement ici des données sensibles aux yeux du RGPD. Des données qui sont jugées sensibles par les entreprises (les données financières par exemple) ne sont pas jugées sensibles au sens du RGPD. Et inversement.

Voici la liste des données sensibles :

• L’origine raciale ou ethnique.
• Les opinions de nature politique, philosophique ou bien les convictions religieuses.
• L’appartenance à un syndicat.
• Les données de santé : état et historique de santé, données biométriques permettant d’identifier une personne de manière unique (les empreintes par exemple), données génétiques.
• Les données relatives à l’orientation sexuelle et, plus largement, à la vie sexuelle.
• Les données pénales : les infractions commises, les condamnations et mesures de sûreté.

Pour être absolument précis, les données relatives aux infractions et condamnations ne sont pas considérées comme des données sensibles mais bénéficient néanmoins du même régime de protection. Voir à a ce sujet l’article 10 du RGPD.

Les règles encadrant la collecte des données sensibles

La collecte des données sensibles n’est possible que sous certaines conditions :

• La personne qui est concernée a donné son consentement libre, éclairé et actif.
• L’utilisation des données est justifiée par l’intérêt public et autorisée par la CNIL.
• Les données concernent les membres ou les adhérents d’une association ou d’une organisation politique, religieuse, philosophique ou syndicale.
• Les données sont nécessaires à un but médical pour la recherche médicale.
• Les données ont été rendues publiques par la personne concernée.

Cette interdiction de principe est énoncée dans le premier alinéa de l’article 9 du règlement général sur la protection des données (RGPD) :

“Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits”.

C’est également dans cet article que vous trouverez les multiples exceptions prévues à cette règle. Vous avez un doute concernant le caractère sensible ou non de certaines des données contenues dans vos bases de données ? Nous vous invitons à prendre contact auprès d’un Data Protection Officer ou d’un avocat expert en données personnelles.

Les règles à respecter concernant les données sensibles

Nous avons vu que le traitement des données sensibles était interdit par le RGPD. L’article 9 du règlement dresse la liste des exceptions. Si vous envisagez de déployer un projet de mise en conformité RGPD, les deux premières à chose à faire sont :

• L’inventaire des données personnelles stockées et traitées dans votre organisation. Il est important, dès la phase d’inventaire, de bien identifier les éventuelles données sensibles qui se trouvent dans le système d’information.
• Si vous stockez et traitez des données sensibles, vous devez vous assurer que vous êtes concerné par l’une ou plusieurs des exceptions de l’article 9. Autrement dit, que vous avez le droit d’utiliser ces données.

S’il s’avère que le traitement est légal, il faut que vous le documentiez. Votre entreprise doit tenir un registre des traitements dans lequel sont précisés les données sensibles stockées, leur finalité et les traitements réalisés. En cas de contrôle de la CNIL, ce registre des traitements sera demandé. Ce registre des traitements n’est pas une option : le RGPD l’a rendu obligatoire.

Découvrez notre guide complet « RGPD : Quelles sont les nouvelles obligations pour les entreprises ?« .

Enfin, les données sensibles sont soumises à toutes les obligations qui concernent les autres données personnelles. Notamment :

1. Le fait que la collecte et le stockage des données doivent être justifiés au regard de finalités déterminées. On ne collecte pas pour le plaisir de collecter et on ne stocke pas pour le plaisir de stocker. On fait cela pour des raisons précises qui doivent être formulées dans le registre des traitements. 
2. La transparence vis-à-vis des personnes concernées. Ces personnes doivent connaître et comprendre les finalités de la collecte de leurs données. La notion de transparence est l’un des piliers du RGPD.
3. Les données doivent être stockées de manière parfaitement sécurisées. Des tests d’intrusion doivent être menés et les données sensibles doivent faire l’objet d’une pseudonymisation, voire d’un cryptage.