RGPD : Que sont les données sensibles?

La mise en place du Règlement Général de protection des données en mai 2018 protège l’usager en lui conférant des droits permettant de garantir la gestion de ses propres données. Si le règlement autorise et encadre la gestion des données à caractère personnel, la législation européenne distingue néanmoins les données « sensibles » et interdit strictement leur traitement. En effet, ces données sont considérées comme présentant un risque pour les droits et libertés des personnes concernées. Ainsi, si les articles 9 et 10 du RGPD définissent et délimitent cette notion, ils posent également les exceptions quant à cette gestion des données sensibles.

Définition

L’article 9 du RGPD établit une liste des catégories de données sensibles. Sont considérées comme sensibles, les données apportant des informations relatives à :

• l’origine ethnique ou raciale
• les opinions politiques
• les convictions religieuses ou philosophiques
• l’appartenance syndicale
• le traitement des données génétiques
• les données biométriques permettant d’identifier une personne
• la santé
• la vie sexuelle ou les orientations sexuelles

Quel régime s’applique en l’espèce à ces données particulières? Peuvent-elles faire l’objet d’un traitement.

Régime de principe

Le traitement des données dites « sensibles » fait l’objet d’une interdiction de principe.
Qu’en est-il des traitements temporaires ? Même dans ce cadre, l’interdiction de traitement de l’article 9 s’applique. De fait, noter, par exemple, dans un registre, qu’un employé est en arrêt maladie est une donnée de santé. Aussi, l’entreprise devra-t-elle être en conformité avec le Règlement général de protection des données. Ainsi, il est recommandé, en cas de doute, de faire appel à un juriste confirmé afin de s’assurer du respect des obligations du règlement européen en matière de données sensibles.

Exceptions

Si le traitement des données sensibles est en principe interdit, le paragraphe 2 de l’article 9 prévoit néanmoins dix exceptions dans lesquelles le traitement de données est autorisé, mais strictement encadré.

• Lorsque la personne a donné son consentement. Cependant, celui-ci doit être nécessairement écrit et la personne doit avoir été informée du traitement de ses propres données. Le responsable du traitement devra, par ailleurs, pouvoir en fournir la preuve.
• Le traitement est nécessaire et concerne le droit du travail, de la protection sociale et de la sécurité sociale.
• Lorsque la personne est dans l’incapacité de donner son consentement et que ces données présentent des intérêts vitaux.
• Lorsque sont concernés les membres et adhérents d’une fondation, de tout organisme à but non lucratif, ou d’une association ethnique, religieuse, philosophique, politique ou syndicale.
• Lorsque la personne a rendu ces données publiques.
• Dans le cadre juridictionnel, lorsque ces données sont nécessaires à l’exercice, la constatation ou la défense d’un droit.
• Lorsque ces données ont un intérêt public important.
• Lorsque le traitement entre dans le cadre de la médecine préventive ou du travail et concerne la capacité de la personne à travailler, les diagnostics médicaux, la prise en charge sanitaire, la prise en charge sociale ou encore la gestion des services et systèmes de protection sociale ou de santé. Néanmoins, le paragraphe 3 précise que seul un professionnel de santé, tenu par le secret professionnel, peut traiter ces données.
• Dans le domaine de la santé, lorsque le traitement des données présente un intérêt public.
• Lorsque le traitement s’effectue, dans un intérêt public, à des fins de recherches historiques, scientifiques ou statistiques.

Ainsi, dès lors qu’un organisme entre dans l’une de ces catégories prévues par la législation, il est autorisé à traiter et gérer des données sensibles.

A l’ensemble de ces exceptions, cependant, le paragraphe 4 de l’article 9 ajoute que les États membres de l’Union Européenne peuvent limiter le traitement relatif aux données génétiques, aux données de santé, ou aux données biométriques. Ainsi, bien qu’il y ait une législation européenne unique, des exceptions sont propres aux États membres. Il convient donc de faire appel à un juriste confirmé afin de s’assurer de la conformité de l’organisme avec le RGPD.

Les données relatives aux condamnations pénales et infractions

Les données personnelles à caractère sensible, encadrées par l’article 10, ne peuvent être traitées dans un cadre privé. Il s’agit, en effet, d’éviter tout registre de casiers judiciaires détenu par un organisme privé. De fait, ce traitement ne peut se faire que sous le contrôle de l’autorité publique compétente. Il s’agit alors de garantir les droits et libertés de la personne.

Ainsi, dès lors qu’un organisme recueille une donnée sensible, son traitement est en principe interdit. Il convient donc de s’assurer en cas de nécessité de traitement, que celui-ci relève d’une des exceptions listées par le paragraphe 2 de l’article 9. En effet, en cas de manquement, le responsable du traitement et le sous-traitant encourent des sanctions pénales et administratives conséquentes. Il par conséquent recommandé, en cas de stockage, gestion ou analyse de données sensibles, de faire appel à l’expertise d’un juriste afin de s’assurer d’être et de rester dans le strict cadre de la législation.