RGPD : Qu’est-ce qu’une donnée sensible ?

Le règlement général sur la protection des données ou RGPD est également connu sous la dénomination règlement n°2016/679. Il s’agit d’un texte règlementaire de l’Union Européenne qui est la base de sécurisation des informations personnelles. Il encadre également le traitement des données qui sont classées comme sensibles. Ci-après quelques points à connaître sur ses applications et sur la protection de ces informations particulières.

Définition

La donnée sensible RGPD est une donnée qui permet de connaître la race, l’ethnie, la tendance religieuse, l’opinion politique, le syndicat, ou la philosophie d’une personne. Elle aide également à obtenir des informations sur l’état de santé et la sexualité. En effet, elle se subdivise en 6 catégories :

  • La tendance politique
  • La race ou l’ethnie
  • La religion ou la philosophie
  • L’appartenance à un syndicat
  • Les informations biométriques
  • Les données génétiques

À titre d’information, les données génétiques sont considérées comme sensibles lorsqu’elles permettent de reconnaître une personne et de la démarquer des autres.

Le règlement européen interdit le recueil et l’exploitation de ces informations dans son article 9 sauf dans les cas suivants :

  • Le propriétaire des données mentionne par écrit qu’il donne son consentement
  • Les données doivent servir pour des recherches médicales
  • La CNIL donne son aval dans le but de servir les intérêts publics
  • Les données appartiennent à des membres d’une association ou d’un syndicat

Les éléments qui concernent les crimes et délits ne font pas partie des données dites sensibles. Ces dernières bénéficient d’un autre type de protection. Cependant, il faut souligner qu’il n’y a que les autorités publiques, la victime (personne morale) ainsi que les juridictions qui ont le droit de les recueillir et de les utiliser.

Les droits des personnes concernées par les données sensibles

Puisque ces informations sont personnelles et confidentielles, leurs propriétaires ont des droits par rapport à leur traitement. Ils ont la possibilité de se renseigner sur leur utilisation, sur le contexte de leur exploitation et d’y accéder à tout moment. Ils peuvent également vérifier leur véracité et leur exhaustivité. Ils ont également le droit de réclamer leur suppression dans le cas où ils constatent qu’elles ne sont pas utilisées à bon escient ou si elles ne servent plus. Ils ont également la possibilité de s’opposer à l’exploitation de leurs informations personnelles lorsque l’entreprise qui les détient les utilise pour la prospection ou pour profiter de leurs situations.

Outre ces possibilités, les personnes concernées par les données personnelles ont les droits suivants :

  • Exiger l’assistance de personnes physiques en cas de traitement de données automatisé c’est-à-dire qu’elles peuvent demander à ce que les opérations soient assurées par un être humain. Dans ce cas, refuser certaines dispositions prises par l’entreprise ou le prestataire est, pour elles, envisageable.
  • Enregistrer les données sur un espace de stockage (clé USB, carte mémoire) en particulier afin d’avoir une copie qu’elle peut transférer sur un autre appareil. Celles-ci doivent être lisibles et utilisables sur tous les types de machines.
  • Déposer une plainte auprès de la commission nationale informatique et liberté ou CNIL, en cas de non-respect du règlement ou contacter les associations nationales spécialisées dans la défense des consommateurs.

Les responsabilités des entreprises par rapport à ces informations

Les entreprises qui utilisent les données personnelles incluant la donnée sensible RGPD doivent respecter les obligations suivantes :

  • Enregistrer tous les traitements dans un registre
  • Être en mesure de donner les raisons du traitement des données aux autorités de contrôle et aux personnes concernées en cas de nécessité. Pour cela, il faut une certification et l’adoption des codes de conduites.
  • Analyser l’impact de leurs actions sur la vie privée
  • Signaler les infractions aux personnes à qui elles confient le traitement des données, ainsi qu’aux autorités de contrôle.
  • S’assurer que toutes les informations fournies aux titulaires des informations personnelles soient conformes à la loi.
  • Garantir le respect des droits des personnes concernées.

Les mesures à adopter pour répondre aux exigences du règlement et éviter les sanctions

Il existe des solutions qui permettent de respecter les clauses contenues dans le règlement européen sur la protection des informations personnelles. Parmi eux, il y a les suivants :

Informer au préalable les personnes ou les entités concernées

Selon l’article 24 du RGPD, il est obligatoire d’informer les personnes concernées que leur donnée sensible va servir à telle ou telle fin. Elles ont alors la possibilité de retirer leur aval ou non en fonction de la situation. En cas de retrait, toutes les opérations doivent être suspendues immédiatement.

Sécuriser la transmission

Il arrive parfois qu’un transfert soit nécessaire et cela exige une sécurisation optimale. C’est le cas, par exemple, si le traitement est confié à un sous-traitant ou se déroule dans un pays où le RGPD ne s’applique pas. En effet, il est important d’envoyer des dispositions avec les BCR ou Binding Corporate Rules (Protection des données en interne). En ce qui concerne ces dernières, c’est l’article 47 de cette dite loi qui les mentionne. Elles encadrent la transmission des données selon les clauses contractuelles types ainsi que le Privacy shield.

Crypter et créer un pseudonyme

Pour stocker des données sensibles, il ne suffit pas de se servir d’un ordinateur, il faut également avoir des copies dans une armoire, un tiroir verrouillé. Pour le stockage dans un ordinateur, il est également important d’utiliser un mot de passe ou un pseudonyme. Concernant ce dernier mode de protection, il s’agit d’un moyen pour cacher les données en utilisant des identifiants de rechange à la place des vrais. Ce moyen revient 15 fois dans la nouvelle loi sur la protection des données. Cependant, la pseudonymisation n’assure qu’une protection partielle d’où la nécessité du cryptage. Ce second type de protection, comme le premier, consiste à masquer les renseignements en se servant de code artificiel. Grâce à lui, il n’y a que l’utilisateur lui-même qui peut voir les données.

Vérifier la fiabilité des sous-traitants

Parfois, il peut être nécessaire de confier le traitement des informations personnelles à des prestataires. Dans ce cas, il faut alors faire preuve de vigilance et vérifier si ces derniers sont fiables ou non. Il faut noter que contrairement aux rumeurs qui circulent parfois, ce ne sont pas des professionnels mandatés.

Sanctions en cas d’infraction par rapport à la loi

Étant donné que le respect du RGPD est obligatoire, il prévoit des sanctions importantes dans son article 58. Celles-ci évoluent selon le niveau de la violation. La première mesure corrective est alors la mise en demeure, l’avertissement ou le rappel à l’ordre. La seconde est l’ordre d’arrêt de la transgression. Si celui qui traite les données continue sur sa lancée et ignore la loi, les autorités de contrôle sont contraintes de suspendre ou de limiter son activité. Si après cette démarche, il ne s’y soumet pas, il encourt des sanctions administratives ou même le paiement d’une amende.

Dans le cas où une entreprise ne tient pas, par exemple, un registre contenant les traitements de données sensibles ou si elle n’effectue pas une analyse d’impact avant de traiter les données, elle encourt une amende de 10 millions d’euros ou d’un montant égal à 2% de son chiffre d’affaires (CA). Si elle n’obtient pas le consentement de la personne concernée avant l’utilisation des données, les autorités de contrôle peuvent même lui demander jusqu’à 20 millions d’euros ou 4% de son CA.

Articles liés à ce sujet :