Article 9 du RGPD
Traitement portant sur des catégories particulières de données à caractère personnel

Chapitre 2 - Principes
Traitement portant sur des catégories particulières de données à caractère personnel

Ce que dit le RGPD sur l'Article 9

1.  Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits.

2.  Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie:

a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;

b) le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un État membre ou par une convention collective conclue en vertu du droit d'un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée;

c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement;

d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées;

e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;

f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle;

g) le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée;

h) le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l'Union, du droit d'un État membre ou en vertu d'un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3;

i) le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou du droit de l'État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel;

j) le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l'article 89, paragraphe 1, sur la base du droit de l'Union ou du droit d'un État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

3.  Les données à caractère personnel visées au paragraphe 1 peuvent faire l'objet d'un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l'Union, au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l'Union ou au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents.

4.  Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé.

Que doit-on comprendre de l'Article 9 du RGPD ?

L’article 9 RGPD concerne le traitement des fameuses “données sensibles” 👻

Il s’agit d’un article important de l’arsenal de protection des données personnelles puisque l’on touche à la sphère la plus intime de chaque personne et donc au droit au respect de la vie privée.

Cette protection renforcée se traduit tantôt par une interdiction de principe de traitement de ces données par un organisme et tantôt par une autorisation de traitement sous conditions strictes !

Ce qui va faire pencher la balance ce n’est finalement pas tant la sensibilité de la donnée en tant que tel mais le contexte dans lequel elle est traitée, nous y reviendrons ⚖️ !

Ceci étant dit, l’article 9 énonce d’abord les catégories de données considérées comme sensibles et interdites de traitement à ce titre (1) puis une longue liste d’exceptions possibles (2).

1 - l’interdiction de principe de traitement des données sensibles

L’article 9 §1 RGPD interdit par principe le traitement (collecte et utilisation) des données personnelles relevant des catégories suivantes :

  • Informations relatives à l’origine raciale ou ethnique,
  • Informations relatives aux opinions politiques,
  • Informations relatives aux convictions religieuses ou philosophiques,
  • Informations relatives à l’appartenance syndicale,
  • Informations relatives à la vie sexuelle ou orientation sexuelle,
  • Données génétiques,
  • Données biométriques (permettant l’identification d’une personne unique),
  • Donnée de santé.

💡 Pour rappel, les informations relatives aux condamnations pénales bénéficient d’une protection similaire prévue à l’article 10 RGPD.

En vérité, les catégories de données listées à l’article 9 RGPD sont extrêmement larges. Par exemple :

  • La photo ou le nom d’un candidat à un emploi, peuvent contenir des informations sur ses origines ethniques et raciales que l’employeur traite lors de la procédure de recrutement.
  • L’achat d’un livre religieux est une information relative aux convictions religieuses qu’un site de e-commerce peut être amené à traiter.
  • Les données de santé correspondent une catégorie particulièrement large : identité du médecin en charge de cette personne, type de traitement pris, état de santé passé, présent et futur etc.

Comment savoir si vous traitez une donnée sensible ? Tout dépend du contexte !

→ Le groupe 29 (organe consultatif de l’Union européenne sur la protection des données), dans son rapport, explique que le risque de traitement de données sensibles dépend “non pas du contenu des données elles-mêmes mais du contexte dans lequel elles sont utilisées” à l’exception de “certaines catégories de données peut, en tant que tel, porter préjudice aux droits et intérêts des individus”.

  • Les catégories de données considérées comme sensibles en tant que telles sont les données biométriques, génétiques et certaines données de santé qui comportent un risque pour la vie privée en elles-mêmes. Pour ces données, seules les exceptions prévues au paragraphe suivant permettent un traitement de ces données.
  • Pour le reste, c’est la finalité du traitement qui va être déterminant pour la qualification de donnée sensible.

2 - Les exceptions au principe

L’article 9 RGPD dispose que l’interdiction ne s’applique pas pour le traitement de ces données lorsque l’une des conditions suivantes est remplie :

  1. La personne concernée a librement donné son consentement,
  2. Le traitement est nécessaire à l’exécution d’obligations du responsable de traitement,
  3. Le traitement est nécessaire à la sauvegarde d'intérêts vitaux,
  4. Le traitement est effectué par une fondation, association ou organisme à but non lucratif,
  5. Les données sont rendues publiques par la personne concernée,
  6. Le traitement est nécessaire à l’exercice ou la défense d’un droit en justice,
  7. Le traitement est nécessaire pour des motifs d’intérêt public important,
  8. Le traitement est nécessaire aux fins de la médecine préventive et médecine du travail,
  9. Le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique,
  10. Le traitement est nécessaire aux archives, recherche scientifique, historiques ou statistiques.

2.1 - Le consentement (article 9 §2, a)

N’est pas interdit le traitement de données personnelles sensibles pour lequel la personne concernée a consenti.

💡 Pour rappel, l’article 4 RGPD défini le consentement comme toute manifestation de volonté libre, univoque et par un acte positif.

Cela signifie que le consentement doit pouvoir être exprimé librement, en connaissance de cause et de manière explicite. Tout en sachant que le consentement peut être retiré à tout moment (article 7 RGPD).

Dans certains cas, le consentement de la personne concernée ne permet pas le traitement des données personnelles sensibles :

  • Le consentement ne peut pas permettre le traitement de données personnelles relatives aux condamnations pénales (article 10 RGPD).
  • Le consentement n’est pas admis dans les situations de dépendance vis-à-vis du responsable de traitement, par exemple l’employeur ou futur employeur est le responsable de traitement.

2.2 - L’exécution d’obligations (article 9 §2, b)

Il ressort de l’article 9 que cette exception ne se limite qu’aux obligations découlant d’un contrat en lien avec le droit du travail, la sécurité sociale ou la protection sociale.

Par exemple, dans le cadre d’un contrat de travail, l’employeur est amené à traiter des données relatives à la santé de ses employés dans le cadre des arrêts maladie.

💡 Pour rappel, les données à caractère personnel doivent être traitées de manière pertinente et limitée à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (article 5 RGPD). Ce principe est encore appelé “minimisation des données”.

Ainsi, si l’on reprend notre exemple, si cette exception permet à l’employeur de collecter certaines données relatives à l’arrêt maladie d’un salarié, il n’est pas admis de traiter des données relatives à son traitement médicamenteux par exemple car cette donnée n’est pas nécessaire dans une relation de travail.

2.3 - Les données rendues publiques par la personne concernée (article 9 §2, e)

Assez simplement, il est logique de considérer que du moment où la personne concernée rend publique elle-même l’information en cause, la protection qui lui ait accordé n’a plus aucune utilité.

Par exemple, le Conseil d’Etat a constaté qu’une personne ne pouvait pas demander la suppression ou le déréférencement de données relatives à sa sexualité sur Google dès lors que ces informations “sont issues du roman à caractère autobiographique” de la personne concernée et qu’ainsi “les données en cause doivent être regardées comme ayant été manifestement rendues publiques”. Pour en savoir plus sur la décision, c’est par ici.

2.4 - Les exceptions liées à un métier ou un secteur

La sauvegarde des intérêts vitaux (article 9 §2, c)

Cette exception désigne les situations spécifiques liées au sauvetage de vie humaine (par exemple connaître le groupe sanguin d’une personne inconsciente), activités humanitaires ou gestion d’une épidémie.

Par hypothèse, cette exception ne concerne donc que les organismes de santé, États, organisations internationales, organismes investis d’une mission de service public.

Traitements nécessaires à l’exercice ou la défense d’un droit en justice (article 9 §2, f)

Cette exception a été pensée pour permettre aux professions réglementées du droit d’exercer leurs activités pour lesquelles ils doivent naturellement traiter des données sensibles. C’est le cas des magistrats (tribunaux, cours, etc.), avocats, huissiers etc.

Cette exception se comprend d’autant plus que ces métiers sont soumis au secret professionnel empêchant toute divulgation de ces données.

Activités légitimes des fondations et associations (article 9 §2, d)

Ici aussi, le RGPD fait référence à un cas spécifique où le traitement est effectué par une fondation, association, organisme à but non lucratif.

L’article 9 prévoit que cette exception n’est admise que lorsque

  • Le but de l’organisation n’est pas lucratif,
  • La finalité est politique, philosophique, religieuse ou syndicale,
  • Le traitement est relatif aux membres ou personnes liées contractuellement à l’organisation,
  • Les données ne peuvent être communiquées en dehors de l’organisation sans le consentement des personnes concernées.

Par exemple, un parti politique peut traiter les données personnelles relatives aux positions politiques des membres du parti politique lorsque ces informations ne sont pas communiquées en dehors du parti sans le consentement de la personne concernée.

Traitement nécessaire pour des motifs d’intérêt public important (article 9 §2, g)

Cette exception est encore assez mal cernée tant elle est rédigée de manière floue.

Par référence à l’article 6 §1 e) qui prévoit que le traitement n’est licite que s’il est “nécessaire à l'exécution d'une mission d'intérêt public”, on peut facilement imaginer que sont concernés les acteurs publics (administrations, organismes chargés d’une mission de service public) dans le cadre de leurs missions.

Cependant, on imagine plus difficilement le contour de la notion de d’intérêt public “important” permettant alors aux institutions publiques de traiter des données personnelles sensibles.

Pour l’instant, aucune jurisprudence ne s’est prononcée sur le sujet, affaire à suivre 👀 !

Traitement est nécessaire aux fins de la médecine préventive et médecine du travail (article 9 §2, h)

Cette exception englobe toute la sphère de la médecine : de la médecine préventive jusqu’à la médecin du travail.

L’article 9 §3 précise que cette exception est admise lorsque le traitement est effectué par un “professionnel de la santé soumis à une obligation de secret professionnel”.

Traitement nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique (article 9 §2, i)

Cette exception est le pendant de l’exception concernant la médecine pour les hôpitaux publics.

Traitement nécessaire aux archives et recherches scientifiques (article 9 §2, j)

La formulation est identique que celle de l’article 17 RGPD §3 d) concernant les exceptions au droit à l’effacement des données.

Cette exception permet de faire obstacle à l’interdiction de traitement des données sensibles lorsqu’ils sont nécessaires aux archives historiques et recherches scientifiques.

Des exemples de sanctions dans le cadre de l'Article 9 du RGPD

2520000
Autorité espagnole de protection des données (aepd)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Mercadona Sa
1900000
Autorité de protection des données de Brême
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Brebau Gmbh
725000
Autorité de surveillance néerlandaise pour la protection des données (AP)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Organisation Inconnue
250000
Autorité belge de protection des données (APD)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Iab Europe
120000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Azienda Usl Della Romagna
97150
Autorité nationale hongroise pour la protection des données et la liberté de l'information (NAIH)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Inconnu
84000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Commune De Bolzano
70000
Commissaire chypriote à la protection des données
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Lgs Handling Ltd, Louis Travel Ltd Et Louis Aviation Ltd
65000
Commissaire à la protection des données de Malte
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause :
C-planet (it Solutions) Limited
60000
Autorité italienne de protection des données (Garante)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Scanshare Srl
50000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Azienda Ospedaliero Universitaria Senese
50000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Azienda Ospedaliero Universitaria Di Parma
40000
Commissaire chypriote à la protection des données
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Autorité De L'électricité De Chypre
30000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Autorité Provinciale De La Santé De Cosenza
30000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Azienda Sanitaria Provinciale Di Enna
18630
Autorité suédoise de protection des données
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
École À Skellefteå
18000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Azienda Usl Di Bologne
15000
Autorité de surveillance néerlandaise pour la protection des données (AP)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Cp&a
10000
Commissaire chypriote à la protection des données
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Lgs Handling Ltd, Louis Travel Ltd Et Louis Aviation Ltd
10000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Latine Asl
8000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Agence De Protection De La Santé De La Sardaigne (ats)
6000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Azienda Ospedaliera Universitaria Careggi
6000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Società H San Raffaele Resnati Srl
5000
Autorité nationale roumaine de contrôle du traitement des données personnelles (ANSPDCP)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Entièrement Shipping & Trading Srl
5000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Azienda Usl Di Parma
4000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Liceo Artistico Statale Di Napoli
4000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Liceo Scientifico Nobel Di Torre Del Greco
4000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Ministero Dell'istruzione, Ufficio Scolastico Regionale Per Il Lazio
3500
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Azienda Socio Sanitaria Territoriale Melegnano E Della Martesana
3000
Autorité nationale roumaine de contrôle du traitement des données personnelles (ANSPDCP)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Estee Lauder Roumanie

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre