Qu’est ce qu’une donnée sensible au sens du RGPD ?

Le Règlement Général sur la Protection des Données (RGPD), fête bientôt ses 7 ans. L’occasion pour nous de revenir sur un pan précis de celui-ci : les données sensibles.

Le RGPD établit, en effet, des directives strictes concernant le traitement et la protection des données personnelles. Parmi ces données, certaines sont qualifiées de « sensibles » et nécessitent une protection accrue en raison de leur nature particulière.

Selon le RGPD, les données à caractère personnel dîtes sensibles, sont des données particulièrement délicates en termes de libertés et de droits fondamentaux. Il s’agit de données touchant à l’intimité d’une personne et dont l’utilisation frauduleuse ou illégitime porterait grandement atteinte à la personne et pourrait entraîner des discriminations, des atteintes à la vie privée ou d’autres préjudices graves.

Au sens du RGPD, constituent des données sensibles les informations révélant :

• Une prétendue origine raciale ou ethnique
• Des opinions politiques
• Des convictions religieuses ou philosophiques
• Une appartenance syndicale
• Des données génétiques ou biométriques
• Des données concernant la santé physique ou mentale
• Des données concernant la vie sexuelle ou l’orientation sexuelle

Les numéros de sécurité sociale et les condamnations pénales, infractions et mesures de sécurité sont également considérées comme des données particulières nécessitant d’être protégées et ne pouvant être traitées que par des catégories d’organisations ou de personnes bien définies.

Pour chacune de ces catégorie de données, on voit bien en quoi elles sont particulièrement sensibles et nécessitent d’être protégées. Par exemple, des informations sur l’orientation sexuelle ou les convictions religieuses peuvent être exploitées à des fins malveillantes, discriminantes, voire attentatoire.

A noter que certaines données personnelles comme les données bancaires (n° de CB, RIB, IBAN…) présentent également une sensibilité forte, même si elles ne sont, étonnement pas, définies comme telles par le RGPD.

Le traitement des données sensibles est en principe interdit. Il existe toutefois des exceptions permettant de lever cette interdiction.

Dans tous les cas, le RGPD impose des mesures strictes pour assurer la confidentialité, l’intégrité et la disponibilité de ces données sensibles, afin de protéger les droits et libertés des personnes concernées.

Les organisations qui collectent, traitent ou stockent des données sensibles ont donc une responsabilité accrue pour garantir leur sécurité. Elles doivent mettre en place des mesures techniques et organisationnelles appropriées pour prévenir les violations de données et les usages non autorisés.

Le traitement des données sensibles est donc, en principe, interdit, sauf si une des conditions spécifiques prévues par le RGPD est remplie. Ces conditions incluent :

1. Un consentement explicite : La personne concernée a donné son consentement explicite au traitement de la donnée pour un ou plusieurs objectifs spécifiques. Par exemple, la collecte de données de santé sur une plateforme de rendez vous médicaux en ligne.
2. Une obligations légale : Le traitement de la donnée sensible est nécessaire pour l’accomplissement des obligations et l’exercice des droits spécifiques de l’exploitant ou de la personne concernée dans le domaine du droit du travail et de la sécurité sociale.
3. La protection d’intérêts vitaux : Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique.
4. Des données rendues publiques par la personne concernée : Le traitement concerne des données manifestement rendues publiques par la personne concernée.
5. Les actions en justice : Le traitement est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice.
6. L’intérêt public : Le traitement est nécessaire pour des motifs d’intérêt public importants. Par exemple, un traitement de données de santé par un hôpital pour la recherche.
7. Le traitement est nécessaire pour des fins de médecine préventive, de diagnostic médical, de fourniture de soins ou de traitement de santé.
8. Le traitement est nécessaire à des fins archivistiques dans l’intérêt public, de recherche scientifique ou historique.
9. Une finalité politique, religieuse ou syndicale : Le fait d’appartenir à un syndicat, un parti politique ou un mouvement religieux implique de pouvoir traiter les données personnelles des membres.

Les organisations doivent mettre en œuvre des mesures de sécurité appropriées pour protéger les données sensibles, notamment :

1. Du chiffrement : Utiliser des techniques de chiffrement pour protéger les données sensibles stockées ou transmises. Une solution comme Wysam utilisant une technologie de chiffrement de bout en bout peut permettre de répondre à l’obligation de sécurité incombant au traitement de données sensibles.
2. De la pseudonymisation : Traiter les données personnelles de manière à ce qu’elles ne puissent plus être attribuées à une personne spécifique sans recourir à des informations supplémentaires.
3. Contrôler les accès : Limiter l’accès aux données sensibles aux seules personnes ayant un besoin légitime de les traiter
4. De la sensibilisation : Sensibiliser régulièrement les équipes sur les bonnes pratiques de protection des données.
5. Des audits et évaluations : Réaliser des audits réguliers et des évaluations d’impact sur la protection des données pour identifier et atténuer les risques d’atteinte aux données traitées.

Les personnes concernées par le traitement de données disposent de droits spécifiques, renforcés par le RGPD, notamment :

1. Un droit d’accès : Elles peuvent demander à accéder aux données personnelles détenues par l’organisation.
2. Un droit de rectification : Elles peuvent demander la correction des données inexactes ou incomplètes.
3. Un droit à l’effacement : Elles peuvent demander la suppression des données personnelles lorsque celles-ci ne sont plus nécessaires ou ont été traitées de manière illicite.
4. Un droit à la limitation du traitement : Elles peuvent demander la limitation du traitement dans certaines circonstances.
5. Un droit à la portabilité : Elles peuvent demander à recevoir les données personnelles dans un format structuré et de les transmettre à un autre responsable de traitement.
6. Un droit d’opposition : Elles peuvent s’opposer au traitement des données personnelles dans certaines conditions.

Les données sensibles, en raison de leur nature particulière et des risques accrus qu’elles comportent, nécessitent une protection renforcée, conformément au RGPD. Les organisations qui en traitent doivent donc mettre en place des mesures appropriées pour garantir la sécurité de ces données. En protégeant les données sensibles, elles se conforment aux exigences du RGPD, mais contribuent également à renforcer la confiance des individus.