Données personnelles sensibles RGPD : comment bien les gérer ?

par | Sep 15, 2021 | 0 commentaires

Les données sensibles sont une catégorie bien particulière de données personnelles. Au regard du Règlement général sur la protection des données (RGPD), elles bénéficient d’une protection supplémentaire. À ce titre, il est important de bien les identifier afin de les gérer au mieux. Découvrez tout ce qu’il faut savoir sur les données sensibles et leur traitement !

Les données personnelles sensibles RGPD, comment ça marche ?

Qu’est-ce qu’une donnée personnelle sensible ?

Une donnée sensible ne doit pas être confondue avec une donnée personnelle classique.  Une donnée personnelle permet d’identifier directement une personne (photo, numéro de sécurité sociale, etc). Les données sensibles, quant à elles, portent sur des informations privées, dont la divulgation peut potentiellement porter atteinte aux personnes concernées. Elles se divisent en 6 catégories, à savoir :

  • Les opinions politiques ;
  • L’origine raciale ou ethnique présumée ;
  • L’obédience religieuse ou philosophique ;
  • L’appartenance à un syndicat ;
  • Les données biométriques ;
  • Les données génétiques.

Qui peut collecter et traiter des données sensibles ?

Par principe et par défaut, le traitement des données sensibles est formellement interdit. Le RGPD prévoit cependant des exceptions, qui s’inscrivent dans un cadre très strict. Par conséquent, il convient de bien déterminer si vous figurez dans l’un des cas autorisés par la législation. L’enjeu est en effet de taille : les sanctions pénales en cas de traitement frauduleux peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende. Alors, dans quel cas précisément pouvez-vous collecter des données sensibles ?

Traitement des données personnelles sensibles : les exceptions

L’article 9 du RGPD prévoit que vous pouvez traiter des données sensibles si :

  • Vous avez recueilli le consentement écrit des personnes concernées ;
  • Ces données ont déjà été rendues publiques par la personne concernée ;
  • Les données sont nécessaires à la poursuite d’un but médical ou de recherche ;
  • Les données concernant les membres de votre association ou organisme à but non lucratif (religieux, politique, syndical, etc) ;
  • Le traitement des données est justifié par l’intérêt public et autorisé par la CNIL ;
  • Le traitement des données est indispensable à l’exécution des obligations ou des droits propres au responsable du traitement ou à la personne concernée pour les matières de droit du travail, de sécurité sociale et de protection sociale ;
  • Le traitement est nécessaire à la sauvegarde de la vie (de la personne concernée ou d’une autre personne) ;
  • Les données sont nécessaires à la contestation ou à la défense d’un droit devant la justice ;
  • Le traitement est justifié par des motifs d’intérêt public dans le domaine de la santé publique ;
  • Le traitement des données présente un intérêt public à des fins de recherches, soit historiques, soit scientifiques, soit statistiques.

Comme gérer les données sensibles ?

S’inscrire dans l’une ou l’autre des exceptions n’est pas rare. Par exemple si, au sein de votre entreprise, les données biométriques de vos employés leur permettent d’entrer dans vos locaux ; ou alors, si votre établissement scolaire détient les empreintes digitales de vos élèves pour leur passage à la cantine. Que faire alors ? Tout simplement vous assurer que vous êtes en conformité avec le RGPD ! Le traitement des données sensibles n’obéit à aucune obligation spécifique, cependant, les sanctions sont bien plus élevées en cas d’infractions. Veuillez donc à bien respecter les bases du RGPD :

  • Tenez un registre des traitements : il est en effet obligatoire pour toutes les entreprises ou organismes traitant des données sensibles ;
  • Soyez en mesure de justifier les raisons du traitement de ces données à la CNIL ainsi qu’aux personnes concernées ;
  • Effectuez des analyses d’impact des données sur la vie privée des personnes concernées ;
  • Signalez sans attendre toute infraction à la CNIL ;
  • Assurez-vus que les informations collectées soient conformes à la loi ;
  • Veuillez au respect des droits des personnes concernées.

Le traitement des données sensibles n’est donc pas à prendre à la légère ! Si vous vous inscrivez dans une des exceptions mentionnées par le RGPD, soyez bien vigilant. La documentation des données sensibles, leur mise en sécurité et le respect des droits de personnes concernées sont primordiaux. En cas de doute sur les processus à suivre, mon expertise est à votre service !

Share This