Le traitement des données sensibles
Fiche pratique
INFOREG

Le règlement européen en matière de protection des données personnelles (RGPD) impose une protection spécifique pour certaines catégories de données dites « données sensibles ». Ces données sensibles font l’objet de contraintes juridiques plus importantes que les autres en raison des risques qui leur sont associés. Le responsable de traitement (RT) doit alors porter une vigilance toute particulière à ce type de données et assurer sa conformité au regard de la réglementation spécifiquement applicable. 

Qu’est-ce qu’une donnée sensible ? 

Les données sensibles sont des données dont le traitement va causer des risques importants pour les personnes.
Les données sensibles recouvrent 2 catégories de données : 

Catégorie 1 : Une donnée sensible est une donnée qui révèle :

  • l’origine raciale ou ethnique ;
  • les opinions politiques, les convictions religieuses ou philosophiques ;
  • ou l’appartenance syndicale ;
  • le traitement des données génétiques ;
  • des données biométriques aux fins d’identifier une personne physique de manière unique ;
  • des données concernant la santé ;
  • des données concernant la vie sexuelle ou ;
  • l’orientation sexuelle d’une personne physique.

Catégorie 2 : Une donnée sensible est également une donnée d’infraction ou de condamnation pénale.

Selon la catégorie à laquelle elles appartiennent, les données sensibles font l’objet de règles particulières et ne peuvent être utilisées que sous certaines conditions strictement encadrées par la réglementation. 

En cas de doute sur la qualification de données personnelles ou non, le RT doit considérer qu’il opère par principe un traitement de données sensibles. 

Dans quels cas est-il possible de collecter des données sensibles ? 

Par principe, le traitement des données sensibles est interdit. 

En revanche, le RGPD énumère 10 exceptions permettant d’opérer le traitement de telles données :

  • si la personne concernée a donné son consentement exprès ;
  • si le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ;
  • si le traitement est nécessaire à la sauvegarde de la vie humaine de la personne concernée, notamment si elle se trouve dans l’incapacité physique ou juridique de donner son consentement ;
  • si le traitement est effectué, par une fondation, une association ou tout autre organisme à but non lucratif poursuivant une finalité politique, philosophique, religieuse ou syndicale et concernant un de leurs membres ;
  • si les informations ont  manifestement été rendues publiques par la personne concernée ; 
  • si le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice devant la justice ;
  • si le traitement est justifié  par l'intérêt public important et autorisé par la CNIL ;
  • si le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale ;
  • si le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux ;
  • si le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. 

Le RT ne peut éviter le régime relatif aux données sensible en raison du fait que ces données ne sont conservées que temporairement. 

Le RT doit donc vérifier que le traitement envisagé répond bien à l’une de ses exceptions pour être autorisé à traiter de telles données. Il devra ensuite démontrer que le traitement est suffisamment fondé sur l’une des bases juridique énoncées par le RGPD.  

Le consentement explicite des personnes doit être justifié par écrit.

Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes, ne peut être effectué :

  • que sous le contrôle de l’autorité publique ;
  • ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. 

Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.

En pratique le traitement de telles données est très rare dans les entreprises privées.

Quelles obligations sont à respecter pour le traitement des données sensibles ?

Afin de traiter les données sensibles en toute sécurité, le RT va notamment devoir :
  • s’assurer que le traitement des données sensibles est vraiment adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • s’assurer que le traitement de ces données est réalisé de manière transparente par rapport aux personnes concernées, que les délais de conservation de ces données sont minimisés ;
  • s’assurer que les mesures de sécurité mises en œuvre sont adéquates par rapport aux risques qui existent pour les personnes sur ces données ;
  • s’assurer que le personnel de l’entreprise est formé à la collecte et au traitement de telles données ;
  • documenter sa conformité. 

Document rédigé par les juristes du réseau EEN (Enterprise Europe Network)

Mis à jour le 07/12/2021