Donnée sensible et RGPD : le guide pour vous mettre en conformité

6/5/2022
Edouard Schlumberger
Guides

25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) entre en vigueur. Un tsunami pour les entreprises (et leurs sous-traitants). Au cœur du projet, deux concepts clés : la donnée personnelle et la donnée sensible.

Leur traitement est désormais strictement encadré sur le Vieux Continent. Tous les pays de l’UE (Union européenne) observent la même réglementation.

Un texte de loi pensé pour accompagner les évolutions technologiques et sociétales (recours aux outils digitaux, e-commerce...).

Responsables des données personnelles en leur possession (celles des ressortissants européens), les professionnels doivent protéger et sécuriser ce patrimoine informationnel.

Problème : 3 ans après, l'application du RGPD reste délicate.

Vraisemblablement, les données personnelles et, a fortiori, les données sensibles demeurent des notions complexes et floues pour de nombreuses sociétés.

Vous en faites partie ? Leto vous guide pas à pas.

  • Définitions,
  • réglementations,
  • obligations…

À la fin de votre lecture, les données personnelles et sensibles n’auront plus aucun secret pour vous.

Donnée personnelle et donnée sensible : quelles différences ?

Quelles sont les subtilités entre les deux concepts ? Voyons cela.

La donnée personnelle, la notion clé

La donnée personnelle est une notion volontairement large et exhaustive. Selon la CNIL (la Commission Nationale Informatique et Liberté), il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable ».

Certaines permettent une identification directe comme un nom de famille. D'autres concèdent une reconnaissance indirecte (un numéro de téléphone, un identifiant client, des données économiques, une plaque d'immatriculation...).

Croisées, elles facilitent l'identification d'un individu. 

Par exemple : l'abonnement à un magazine, l'appartenance à une association, l'adresse et la date de naissance constituent une base de données suffisante.

Qu'est-ce qu'un traitement de données personnelles ?

  • Une collecte,
  • un stockage,
  • un transfert,
  • une consultation…

Toute opération, informatisée ou non, réalisée sur une donnée est considérée comme un traitement.

Par exemple : la mise en place et l'entretien d'un fichier clients.

Qu'est-ce qui n'est pas une donnée personnelle ?

Les informations relatives à une entreprise sont exclues du champ d'application du RGPD : son adresse, ses gérants, ses données publiques de bilan, etc.

La donnée sensible, une information précieuse

L’article 9 du RGPD la définit de la manière suivante "Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique."

L’enjeu est de taille. Ces informations relèvent de la sphère privée. Leur perte constituerait un DANGER pour les personnes concernées. Elle pourrait s'accompagner de jugements de valeur et de répercussions graves sur leur vie privée. Liberté et droit seraient menacés.

La donnée sensible : le cadre strict du RGPD

Cette donnée, si particulière, mérite toute votre attention. Son utilisation s’inscrit dans un cadre légal qui nécessite de renforcer sa protection.

Souvenez-vous : le RGPD vous responsabilise !

Traitement de la donnée sensible : une interdiction de principe

Les propos de la CNIL ne laissent aucune place à l’interprétation : ”... le règlement européen interdit de recueillir ou d’utiliser ces données.”

Toutefois, des exceptions existent.

 Traitement de la donnée sensible : les exceptions

Le législateur a défini des “cas d'autorisation de traitement”.

  • Si la personne concernée a donné explicitement son accord.

Soyez vigilant ! Ce consentement doit être exprès et formel. Un document écrit s'impose. (Obligation de pouvoir justifier l’autorisation de traitement.)

  • Si cette même personne a rendu publiques ces informations spécifiques.
  • Pour sauvegarder des vies humaines (de la personne concernée ou d’autres personnes physiques) ou les protéger : médecine préventive ou médecine du travail.

Par exemple : une personne dans le coma est dans l'incapacité juridique et physique de formuler tout consentement.

  • Si la personne est membre ou adhérente d'une organisation politique, religieuse, philosophique et syndicale.

Cette organisation (fondation, association...) exploite ces données. Elle doit poursuivre uniquement un but non lucratif. Ce traitement concerne toutes personnes (membres actifs ou non...) en contact régulier avec l'organisation et en liaison avec les finalités poursuivies.

Une situation qui s’explique. Par exemple : difficile pour un responsable syndical de dissimuler ses convictions.

  • Si le responsable du traitement doit y recourir pour satisfaire aux obligations légales et respecter les droits de la personne concernée en matière de droit du travail, de la sécurité et de la protection sociale.

Attention !  Ce traitement est soumis à une autorisation (droit de l'UE, droit français, conventions collectives).

  • Pour mener toute action en justice : constatation, exercice et défense d'un droit.
  • Pour servir l'intérêt public : domaine de la santé, à des fins archivistiques, de recherches scientifiques, historiques ou statistiques.

Dans ce cas, une validation de la CNIL est requise.   

La donnée sensible : vos obligations vis-à-vis du RGPD

La CNIL vous surveille : veillez à la légalité de vos actions ! Elles respectent l'une des conditions d'exceptions énoncées ? Oui. Très bien. Toutefois, cela demeure insuffisant…

Pour agir conformément à la loi, votre traitement doit aussi respecter les principes fondamentaux du RGPD. 

Prenons un exemple : vous désirez lancer une nouvelle application mobile.

Interrogez-vous :   

  • Quelles données collectées sont pertinentes par rapport à mon service ?
  • Quels types de données allez-vous recueillir ?
  • Votre traitement respecte-t-il le principe de la minimisation des données ?
  • Avez-vous informé, en toute transparence et explicitement, les personnes concernées (par exemple avec une politique de confidentialité sur votre site Internet) ? 
  • La durée de conservation est-elle justifiée ?
  • Vos actions sont-elles documentées (avec un registre de données) ?
  • Les mesures de sécurisation sont-elles suffisantes ? Avez-vous développé une procédure en cas de fuite ?
  • Pouvez-vous répondre, dans les délais, aux demandes des clients souhaitant exercer leurs droits (accès, rectification…) ?

 Et aussi...

L'utilisation de ces données sensibles exige une protection et une sécurisation renforcée. Le RGPD vous oblige à réaliser une étude d'impact et à nommer un délégué à la protection des données.

Des techniques de pseudonymisation et de chiffrage apparaissent nécessaires pour assurer leur confidentialité. Une sensibilisation et une formation du personnel sont incontournables.  

Un maître-mot : PRÉCAUTION

Vous en savez désormais un peu plus sur les données sensibles. Votre leitmotiv en cas de traitement : la PRÉCAUTION.

Un traitement et une protection spécifiques sont nécessaires.

Si vous échouez, c’est le risque de la clé sous la porte : 

  • 20 000 000 d’euros ou 4 % du chiffre d'affaires annuel mondial ;
  • perte de confiance des clients ;
  • déficit d’image.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Rejoindre