Qu est-ce qu une donnee sensible au sens du RGPD ?
Le RGPD distingue les donnees personnelles classiques des donnees dites « sensibles ». Ces dernieres beneficient d une protection renforcee en raison des risques particuliers que leur traitement fait peser sur les libertes fondamentales des personnes.
L article 9 du RGPD definit les categories de donnees sensibles : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, donnees genetiques, donnees biometriques permettant l identification, donnees de sante, donnees relatives a la vie sexuelle ou a l orientation sexuelle.
A cette liste s ajoutent les donnees relatives aux condamnations penales et aux infractions, encadrees par l article 10 du RGPD. Ces donnees ne peuvent etre traitees que sous le controle de l autorite publique.
Le principe d interdiction de traitement
Le principe pose par le RGPD est clair : le traitement des donnees sensibles est interdit par defaut. Cette interdiction vise a proteger les personnes contre les risques de discrimination et d atteinte a leur vie privee.
Toutefois, l article 9 paragraphe 2 prevoit dix exceptions qui permettent de traiter ces donnees dans des conditions strictement encadrees.
Les exceptions autorisant le traitement
Le consentement explicite de la personne concernee constitue la premiere exception. Contrairement au consentement classique, il doit porter specifiquement sur le traitement des donnees sensibles et etre formule de maniere non ambigue.
Les autres exceptions couvrent notamment les obligations en matiere de droit du travail et de protection sociale, la sauvegarde des interets vitaux, les traitements effectues par une fondation ou association a but non lucratif, les donnees rendues publiques par la personne elle-meme, les traitements necessaires a la constatation ou l exercice de droits en justice, les motifs d interet public important, la medecine preventive ou la medecine du travail, l interet public dans le domaine de la sante publique, et les traitements a des fins archivistiques ou de recherche.
Les mesures de securite renforcees
Le traitement de donnees sensibles impose la mise en place de mesures techniques et organisationnelles renforcees. Le chiffrement des donnees est fortement recommande, tant au repos qu en transit.
Le controle d acces doit etre particulierement strict. Seules les personnes ayant un besoin legitime doivent pouvoir consulter ces donnees. La mise en place d une journalisation des acces permet de tracer qui a consulte quoi et quand.
La pseudonymisation constitue une mesure supplementaire pertinente. Elle consiste a remplacer les identifiants directs par des pseudonymes, rendant plus difficile l identification des personnes sans information complementaire.
L analyse d impact (AIPD) obligatoire
Tout traitement de donnees sensibles a grande echelle impose la realisation d une analyse d impact relative a la protection des donnees (AIPD). Cette obligation decoule de l article 35 du RGPD.
L AIPD doit decrire les operations de traitement envisagees, evaluer la necessite et la proportionnalite du traitement, identifier les risques pour les droits et libertes des personnes, et definir les mesures prevues pour faire face a ces risques.
La CNIL a publie une liste de traitements pour lesquels l AIPD est obligatoire. Les traitements de donnees sensibles y figurent systematiquement lorsqu ils sont croises avec d autres criteres comme le traitement a grande echelle ou le croisement de donnees.
Les cas concrets en entreprise
En matiere de ressources humaines, la collecte de donnees de sante dans le cadre de la medecine du travail est autorisee sur le fondement de l obligation legale. En revanche, un employeur ne peut pas demander a un salarie de reveler son appartenance syndicale en dehors du cadre prevu par la loi.
Dans le secteur de la sante, les professionnels de sante peuvent traiter les donnees medicales de leurs patients dans le cadre de la prise en charge. Le secret medical constitue une garantie supplementaire encadree par le code de la sante publique.
Les associations peuvent traiter des donnees relatives aux convictions religieuses ou politiques de leurs membres, a condition que ce traitement se rapporte exclusivement a leurs membres ou anciens membres et que les donnees ne soient pas communiquees a des tiers sans le consentement des personnes.
Article redige par Laurent de Cavel, DPO certifie. Publie sur DPO Partage, le portail francophone de reference sur le RGPD et la protection des donnees personnelles.
