Définition : que sont les données sensibles ? Les données sensibles sont une catégorie particulière de données à caractère personnel qui, en raison de leur nature, présentent un risque accru pour les droits et libertés des individus si elles sont traitées de manière inappropriée. Le Règlement Général sur la Protection des Données (RGPD) leur accorde donc une protection renforcée.
Selon l’article 9 du RGPD, les données sensibles comprennent notamment :
les données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques (lorsqu'elles sont utilisées pour identifier une personne de manière unique), les données concernant la santé, les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne.
Quelle différence entre des données personnelles et des données sensibles ? Une donnée personnelle désigne toute information permettant d’identifier directement ou indirectement une personne physique. Il peut s’agir, par exemple, d’un nom, d’une adresse e-mail, d’un numéro de téléphone ou encore d’une adresse IP.
En revanche, une donnée sensible est un sous-ensemble spécifique des données à caractère personnel . Elle concerne des informations plus intimes ou à fort potentiel de discrimination, comme la santé, les opinions politiques ou l’orientation sexuelle.
Ainsi, toutes les données sensibles sont des données personnelles , mais toutes les données personnelles ne sont pas sensibles . Par exemple, un prénom est une donnée personnelle, mais pas une donnée sensible. En revanche, un certificat médical, une empreinte digitale ou l’appartenance religieuse entrent dans la catégorie des données sensibles .
Est-il interdit de traiter des données sensibles ? Le traitement des données sensibles est interdit par principe selon le Règlement Général sur la Protection des Données, en raison de leur caractère particulièrement sensible pour les libertés et droits fondamentaux des personnes concernées.
Cette interdiction est posée par l’article 9 du RGPD, qui vise à éviter tout risque de discrimination , de profilage abusif ou d’atteinte à la vie privée . Toutefois, cette règle connaît plusieurs exceptions strictement encadrées qui autorisent, dans certaines conditions, le traitement de données sensibles .
Ainsi, il n’est pas absolument interdit de traiter des données sensibles , mais cela nécessite une base légale solide , des mesures de sécurité renforcées et, dans la plupart des cas, une analyse approfondie des risques .
Tout traitement de données sensibles doit être justifié, proportionné à la finalité poursuivie et inscrit dans une logique de minimisation des données . En l’absence de fondement clair, le traitement est considéré comme illicite.
Est-il obligatoire de demander le consentement des personnes lorsque l’on traite des données sensibles ? Lorsqu’il s’agit de traiter des données sensibles , le consentement explicite de la personne concernée est l’une des bases légales possibles prévues par le RGPD. Toutefois, contrairement à une idée reçue, ce consentement n’est pas toujours obligatoire .
L’article 9 du Règlement Général sur la Protection des Données interdit en principe le traitement de données sensibles , mais il prévoit une série de dérogations . Le consentement explicite est l’une de ces dérogations, mais ce n’est pas la seule .
Voici quelques situations où le traitement de données sensibles peut être licite sans consentement :
Lorsque le traitement est nécessaire pour remplir des obligations en matière de droit du travail, de sécurité sociale ou de médecine du travail ; Pour protéger les intérêts vitaux d’une personne (ex. : urgences médicales, catastrophes naturelles) ; Dans le cadre d’un intérêt public important , reconnu par la loi (ex. : surveillance sanitaire, prévention épidémique) ; À des fins de médecine préventive , de diagnostic médical ou de gestion des systèmes de soins de santé , si le traitement est effectué par un professionnel soumis au secret ; Pour la recherche scientifique ou historique , avec des garanties appropriées. Cependant, lorsqu’aucune autre base légale ne peut être invoquée, le recueil du consentement explicite devient indispensable. Cela signifie que la personne doit être pleinement informée, avoir le choix libre et éclairé , et exprimer clairement son accord , par une action positive (case à cocher non précochée, signature, etc.).
Est-il obligatoire de faire un DPIA lorsque que l’on traite des données sensibles ? Le DPIA (Data Protection Impact Assessment), ou analyse d’impact relative à la protection des données , est un outil essentiel prévu par le RGPD pour évaluer les risques d’un traitement sur la vie privée des personnes concernées. Lorsqu’il s’agit de données sensibles , la réalisation d’un DPIA devient souvent obligatoire .
En effet, l’article 35 du RGPD précise qu’un DPIA est requis lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Le traitement de données sensibles fait partie des situations typiques dans lesquelles ce risque est élevé, notamment lorsque :
les données portent sur la santé , la génétique ou la biométrie , le traitement est effectué à grande échelle , il implique un croisement de bases de données ou un profilage , il concerne des personnes vulnérables (enfants, patients, salariés…), il inclut une surveillance systématique . La CNIL (Commission nationale de l’informatique et des libertés) publie d’ailleurs une liste des traitements pour lesquels un DPIA est obligatoire , dans laquelle figurent plusieurs traitements de données sensibles .
Ainsi, même si le Règlement Général sur la Protection des Données ne rend pas automatique l’obligation de faire un DPIA dès qu’une donnée sensible est traitée, la combinaison de plusieurs critères (volume, finalité, population concernée…) rend cette analyse fortement recommandée , voire incontournable .
Réaliser un DPIA permet de :
identifier les risques potentiels ,mettre en place des mesures de sécurité adaptées ,démontrer la conformité du traitement avec les exigences du RGPD.En résumé, traiter des données sensibles sans DPIA peut exposer l’organisme à des risques juridiques, organisationnels et de réputation. C’est donc une étape clé pour sécuriser les traitements et respecter la protection des données à caractère personnel .
🔗 Pour en apprendre plus : DPIA ou AIPD – Qu’est-ce c’est ? Comment le réaliser ?
Quelques cas d’usage Est-ce que le numéro de sécurité sociale est une donnée sensible ? Le numéro de sécurité sociale , aussi appelé Numéro d’Inscription au Répertoire (NIR) , est une donnée à caractère personnel particulièrement encadrée par la réglementation, mais il ne fait pas partie des données sensibles au sens strict du RGPD .
En effet, le Règlement Général sur la Protection des Données (RGPD) définit les données sensibles comme celles révélant, par exemple, l’origine ethnique, les opinions politiques, les données de santé, biométriques ou l’orientation sexuelle. Le NIR, en tant qu’identifiant unique attribué à chaque personne, n’entre pas dans cette catégorie. Il n’en reste pas moins une donnée à caractère hautement personnel , du fait de sa capacité à identifier de manière certaine une personne physique dans les systèmes d’information publics ou privés.
C’est pourquoi le traitement du NIR est strictement encadré par un décret spécifique, appelé décret « cadre NIR » , en particulier dans le secteur de la santé. Ce décret précise les conditions et les finalités dans lesquelles le NIR peut être utilisé, ainsi que les acteurs autorisés à y recourir. En dehors de ces cas, la collecte ou l’utilisation du numéro de sécurité sociale est en principe interdite .
Par ailleurs, même si le NIR n’est pas une donnée sensible RGPD , son usage implique souvent des obligations renforcées :
Réalisation d'une Analyse d'Impact sur la Protection des Données (AIPD) , Sécurisation technique et organisationnelle des traitements, Encadrement contractuel strict en cas de recours à un sous-traitant .
Collecter la nationalité de quelqu’un revient-il à traiter des données relatives à l’origine raciale ? La collecte de la nationalité d’une personne ne constitue pas automatiquement un traitement de données sensibles au sens du RGPD. En effet, bien que la nationalité soit une donnée personnelle , elle ne figure pas explicitement parmi les catégories de données sensibles définies à l’article 9 du Règlement Général sur la Protection des Données.
Cependant, le contexte du traitement peut faire évoluer cette qualification. Le RGPD considère comme données sensibles les informations « révélant l’origine raciale ou ethnique ». Or, dans certaines situations, la collecte de la nationalité peut induire ou révéler indirectement l’origine ethnique ou raciale d’une personne. C’est notamment le cas lorsque la finalité du traitement ou le croisement avec d’autres données permet d’inférer une origine perçue comme sensible , ce qui justifie alors un encadrement renforcé.
Par exemple :
Si la nationalité est utilisée à des fins de profilage , de sélection ou de discrimination , le traitement pourrait être considéré comme portant sur des données sensibles. Si elle est collectée en association avec d'autres données (lieu de naissance, nom de famille, origine géographique…), le risque d’inférence est plus élevé. Dans ces cas, le traitement de la nationalité doit être abordé avec la même prudence que celui des données sensibles , et peut nécessiter :
Une analyse d’impact sur la protection des données (DPIA) , Des garanties techniques et organisationnelles renforcées , Et, le cas échéant, le consentement explicite des personnes concernées. Le déverrouillage d’un ordinateur professionnel par reconnaissance faciale est-il un traitement de données sensibles ? Oui, le déverrouillage d’un ordinateur professionnel par reconnaissance faciale constitue un traitement de données sensibles , car il repose sur l’utilisation de données biométriques . Selon le Règlement Général sur la Protection des Données (article 9), les données biométriques utilisées dans le but d’identifier de manière unique une personne physique sont expressément qualifiées de données sensibles .
Dans ce contexte, les gabarits de visage collectés et traités par le dispositif de reconnaissance faciale permettent l’identification directe du salarié, ce qui déclenche l’application de toutes les règles relatives aux traitements de données sensibles . En principe, leur traitement est interdit , sauf à satisfaire l’une des exceptions prévues par le RGPD , comme le consentement explicite ou une obligation légale spécifique .
Deux cas d’usage doivent être distingués :
Si le déverrouillage par reconnaissance faciale est facultatif , avec une alternative (code ou phrase de passe), et que les données biométriques sont stockées localement sur l’appareil sans transfert à l’entreprise (Face ID d’Apple ou Windows Hello de Microsoft), le traitement peut parfois être considéré comme un usage personnel relevant d’une exemption (exemption domestique, RGPD art. 2(2)(c)).En revanche, si ce mode d’authentification est imposé par l’employeur , ou si les données biométriques sont collectées ou traitées par l’entreprise ou un prestataire, il s’agit bien d’un traitement de données sensibles soumis à l’ensemble des obligations du RGPD : analyse d’impact (AIPD), base légale autre que le consentement (intérêt légitime ou nécessité), transparence, sécurité renforcée, documentation et consultation du CSE. Le statut marital ou conjugal est-il une donnée sensible au sens du RGPD ? La collecte du statut marital ou conjugal (marié, pacsé, en concubinage, célibataire, divorcé…) ne constitue pas automatiquement un traitement de données sensibles au sens du Règlement Général sur la Protection des Données. Il s'agit certes d’une donnée personnelle , mais elle n’entre pas, par elle-même, dans les catégories strictement définies à l’article 9 du RGPD.
Cependant, la qualification de donnée sensible peut dépendre du contexte dans lequel la donnée est collectée et utilisée . Si l’information relative au statut conjugal permet, directement ou indirectement, d’inférer l’orientation sexuelle d’une personne, alors le traitement pourrait être assimilé à un traitement de données sensibles. Cela pourrait être le cas, par exemple, si une organisation enregistre qu’un employé est pacsé avec une personne du même sexe dans un formulaire administratif.
Néanmoins, considérer systématiquement ces données comme sensibles au seul motif qu’elles pourraient permettre de déduire une orientation sexuelle serait excessif et peu praticable. Cela reviendrait à traiter comme sensible toute mention d’un conjoint, ce qui poserait des difficultés de gestion , notamment dans les services RH, les assurances, ou les démarches sociales. Il convient donc de rester proportionné dans l’analyse .
En revanche, dès qu’il est fait explicitement mention de l’orientation sexuelle , ou si le traitement a pour finalité de collecter ce type d’information (par exemple dans le cadre d’une étude sociologique), alors il s’agit bien de données sensibles au sens strict du RGPD. Le traitement est alors soumis à des règles spécifiques , comme le recueil du consentement explicite ou le respect d’une exception légale encadrée .
Quelles sont les données sensibles qu’un service RH est autorisé à traiter ? Dans un service RH , les traitements de données sensibles peuvent être autorisés uniquement dans certaines situations bien précises , comme :
Données de santé : pour la gestion de l’absentéisme, des arrêts maladie, de l’invalidité, ou de l’aménagement de poste pour raison médicale. Ces traitements doivent être strictement nécessaires, limités dans le temps, et réalisés sous la supervision du médecin du travail ou d’un professionnel soumis au secret médical .
Appartenance syndicale : si un salarié est désigné comme représentant syndical, l’entreprise peut en conserver la trace dans ses fichiers RH. Ce traitement est autorisé car il répond à une obligation légale et à la gestion des relations sociales dans l’entreprise.
Handicap reconnu : pour des mesures d’adaptation ou le suivi des obligations légales (ex. : emploi de travailleurs handicapés), la collecte de cette information peut être justifiée. Là encore, des précautions spécifiques doivent être prises.
Cas particulier du casier judiciaire : bien que non listé dans les données sensibles du RGPD, le traitement de ces informations est également soumis à un régime spécial et n’est autorisé que dans des cas très limités, souvent encadrés par la loi.
Dans tous les cas, le service RH doit veiller à respecter les principes de minimisation des données , de protection renforcée , et de transparence . Une analyse d’impact (DPIA) peut être requise si le traitement présente un risque élevé pour les droits des personnes.
Quelles sont les données sensibles qu’un groupe hôtelier est autorisé à traiter ? Un groupe hôtelier ne peut donc collecter et utiliser des données sensibles que dans des cas très spécifiques, et avec des garanties renforcées :
▶️ Données de santé (allergies, régimes alimentaires particuliers, handicap). Lorsqu’un client signale une allergie alimentaire , un besoin d’accès PMR ou un régime médicalisé , ces informations relèvent des données sensibles . Leur traitement est autorisé si :
la personne a fourni son consentement explicite, et que ces données sont strictement nécessaires pour lui fournir un service adapté (ex. : éviter un allergène dans un repas, prévoir une chambre accessible). ▶️ Données biométriques (reconnaissance faciale pour l’accès aux chambres). Si un groupe hôtelier met en place un système de reconnaissance faciale ou d’identification par empreinte digitale pour l’accès aux chambres ou aux espaces reservés au personnel, cela implique le traitement de données sensibles. Ce traitement n’est autorisé que :
si le client ou salarié donne un consentement explicite, libre et éclairé, et qu’une alternative non biométrique (carte, badge) est proposée. ▶️ Orientation religieuse ou convictions personnelles (ex. : demandes spécifiques liées à la religion). Le traitement indirect de données sensibles peut survenir si un client exprime une préférence religieuse (ex. : repas halal/kasher, pas de chambre à un étage spécifique). Ces informations peuvent être traitées avec le consentement de la personne et à sa demande explicite .
Même si le signalement d’une donnée sensible (comme une allergie ou une conviction religieuse) est spontané de la part du client , il s’agit tout de même d’un traitement au sens du Règlement Général sur la Protection des Données. Il est donc essentiel de ne pas saisir ces informations dans des champs non prévus à cet effet (ex. : zone de commentaire libre), afin d’éviter tout risque de non-conformité ou de fuite de données sensibles.
Quelles sont les données sensibles qu’un agent général d’assurance est autorisé à traiter ? Les données de santé sont les plus fréquemment concernées. Elles peuvent être nécessaires, par exemple, pour évaluer le risque avant la souscription d’un contrat, pour adapter les garanties, ou encore pour instruire un dossier d’indemnisation. Ce traitement n’est autorisé que si la personne concernée a donné son consentement explicite , ou s’il est nécessaire à l’exécution du contrat dans son intérêt.
Dans certains cas, l’assureur peut aussi traiter des informations liées au handicap , à l’inaptitude médicale , ou à des données judiciaires , notamment dans le cadre de garanties spécifiques ou d’exclusions prévues par le contrat. Là encore, le traitement doit être justifié, proportionné, et entouré de toutes les garanties de sécurité et de confidentialité.
Il peut également arriver que des données sensibles soient collectées de manière spontanée par l’assuré, par exemple via un message libre ou un échange par e-mail. Même si l’information n’est pas explicitement demandée, sa réception constitue un traitement au sens du Règlement Général sur la Protection des Données . Il est donc essentiel de sensibiliser les assurés à ne pas transmettre ce type d’information dans des champs non prévus à cet effet, afin d’éviter tout traitement non conforme.
