L’article 9 du RGPD est un élément clé du règlement, car il énonce les règles relatives aux catégories spéciales de données personnelles, également appelées données sensibles. Ces données comprennent des informations sur la race ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, les données biométriques pour l’identification unique d’une personne, les données concernant la santé ou la vie sexuelle ou l’orientation sexuelle.

Le traitement de ces données est en principe interdit, sauf si certaines conditions sont remplies. L’article 9 précise que le traitement des données sensibles est autorisé dans les situations suivantes :

1. Consentement explicite : Lorsque la personne concernée a donné son consentement explicite pour le traitement de ses données à caractère personnel. Le consentement doit être donné de manière libre, spécifique, éclairée et univoque.
2. Obligations et droits spécifiques : Lorsque le traitement est nécessaire à l’exécution d’obligations et de droits spécifiques du responsable du traitement ou de la personne concernée dans le domaine du droit du travail, de la sécurité sociale ou de la protection sociale.
3. Intérêts vitaux : Lorsque le traitement est nécessaire à la protection des intérêts vitaux de la personne concernée ou d’une autre personne physique qui ne peut donner son consentement.
4. Activités légitimes : Lorsque le traitement est effectué dans le cadre d’activités légitimes menées par une fondation, une association ou un organisme à but non lucratif, à condition que le traitement se rapporte exclusivement aux membres ou aux personnes ayant des contacts réguliers avec l’organisme et que les données ne soient pas divulguées à des tiers sans le consentement de la personne concernée.
5. Exercice ou défense de droits en justice : Lorsque le traitement est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice.
6. Intérêt public important : Lorsque le traitement est nécessaire pour des raisons d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre, qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et fournir des mesures appropriées et spécifiques pour sauvegarder les droits fondamentaux et les intérêts de la personne concernée.

Il est important de noter que l’article 9 stipule également que le traitement des données sensibles ne doit pas être utilisé pour la prise de décision automatisée, y compris le profilage, sauf si des garanties appropriées ont été mises en place pour protéger les droits et les libertés de la personne concernée. Cela signifie que les entreprises et les organisations ne peuvent pas utiliser ces données pour prendre des décisions automatisées qui pourraient avoir des conséquences importantes pour les personnes concernées, sans mettre en place des garanties appropriées pour protéger leurs droits et libertés.

L’article 9 du RGPD énonce les règles relatives au traitement des données sensibles. Ces données nécessitent une protection supplémentaire en raison de leur nature sensible. Le traitement de ces données est en principe interdit, sauf si certaines conditions sont remplies. Les personnes concernées doivent donner leur consentement explicite pour le traitement de leurs données sensibles, sauf dans les cas où le traitement est nécessaire pour des raisons d’intérêt public important ou pour la protection des intérêts vitaux de la personne concernée. Les entreprises et les organisations doivent veiller à mettre en place des garanties appropriées pour protéger les droits et les libertés des personnes concernées dans les situations où des décisions automatisées sont prises à l’aide de données sensibles.

Les entreprises et les organisations doivent également veiller à mettre en place des mesures de sécurité appropriées pour protéger ces données sensibles. Les mesures de sécurité appropriées peuvent inclure la pseudonymisation, l’encodage ou le cryptage des données sensibles afin d’empêcher un accès non autorisé à ces données. Les entreprises et les organisations doivent également mettre en place des politiques et des procédures pour la gestion de ces données sensibles, y compris la limitation de l’accès à ces données à des personnes spécifiques et la destruction de ces données lorsque cela est approprié.