Les données sensibles : dans quelles conditions peut-on en traiter ?

Qu'est-ce que les "données sensibles" ?

Les données sensibles, d'un point de vue de la protection des données, sont des informations qui révèlent des aspects très intimes ou potentiellement discriminatoires sur une personne.

Le traitement de ces données est par principe interdit, sauf exceptions strictement encadrées.

 

Pourquoi sont-elles nommées ainsi ?

Les données sensibles sont désignées comme telles en raison de leur nature intrinsèquement privée et du risque élevé qu'elles comportent en cas de traitement abusif ou non sécurisé.

Ces données peuvent conduire à une discrimination, à des atteintes à la vie privée, et même à des préjudices physiques ou psychologiques pour les individus concernés.

 

De quelles données parle-t-on ?

Les données dites "sensibles" sont définies à l'article 9 du RGPD. Il s'agit des données suivantes :

 

Origine raciale ou ethnique Opinions politiques Convictions religieuses ou philosophiques Appartenance syndicale Données génétiques Données biométriques aux fins d’identifier une personne de manière unique Données concernant la santé Données concernant la vie sexuelle ou l’orientation sexuelle d’une personne

 

L'article 10 du RGPD présente également un autre type de données nécessitant une attention particulière :

 

 

Dans quel cas peut-on traiter ces données ?

▷ Les données dites "sensibles" de l'article 9 ne peuvent être traitées que dans certaines circonstances bien particulières :

✅ Consentement explicite

Le traitement est possible si la personne concernée a donné son consentement explicite pour une ou plusieurs finalités spécifiques.

Ce consentement doit être libre, informé et sans ambiguïté.

 

⚖️ Obligations et droits en matière d'emploi et de sécurité sociale

Le traitement est autorisé si nécessaire pour respecter des obligations légales, ou les droits spécifiques de l'employeur, ou de la personne concernée, dans le domaine du droit du travail et de la sécurité sociale.

 

🚑 Intérêts vitaux

Le traitement est permis lorsque nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique, dans le cas où la personne concernée est physiquement ou légalement incapable de donner son consentement.

 

🌐 Activités légitimes des fondations, associations ou tout autre organisme à but non lucratif

Les organisations à but non lucratif peuvent traiter des données sensibles de leurs membres ou personnes en contact régulier avec elles dans le cadre de leurs activités légitimes, à condition que les données ne soient pas communiquées à des tiers sans consentement.

 

🗞️ Données rendues publiques par la personne concernée

Si les données sensibles ont été manifestement rendues publiques par la personne concernée, elles peuvent être traitées.

 

🧑‍⚖️ Établissement, exercice ou défense de droits en justice

Le traitement est autorisé lorsque nécessaire pour la constatation, l'exercice ou la défense de droits en justice ou dans le cadre d'une procédure judiciaire.

 

🏛️ Intérêt public important

Le traitement est permis pour des raisons d'intérêt public important, en vertu du droit de l'Union ou du droit d'un État membre.

Cet intérêt doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données, et prévoir des mesures appropriées et spécifiques pour protéger les droits et intérêts fondamentaux de la personne concernée.

 

🩺 Médecine préventive ou du travail, diagnostic médical et soins de santé

Le traitement est autorisé lorsque nécessaire à des fins de médecine préventive ou du travail, de diagnostic médical, de fourniture de soins ou traitements de santé, ou de gestion des systèmes et services de santé.

La personne amenée à réaliser un tel traintement doit également être tenue au secret professionnel.

 

🏥 Intérêt public dans le domaine de la santé publique

Le traitement est permis pour des raisons d'intérêt public dans le domaine de la santé publique, telles que la protection contre les menaces transfrontalières graves pour la santé ou pour garantir des normes élevées de qualité et de sécurité des soins de santé.

 

📜 Archivage, recherche scientifique ou historique, et statistiques

Le traitement est autorisé pour des fins d'archivage dans l'intérêt public, de recherche scientifique ou historique, ou à des fins statistiques, sous réserve de mesures appropriées pour protéger les droits et libertés des personnes concernées.

 

▷ Pour les données relatives aux infractions et aux condamnations pénales (article 10), d'autres règles s'appliquent :

👁️‍🗨️ Contrôle de l'autorité publique

Le traitement de ces données doit être effectué sous le contrôle d'une autorité publique.

Cela inclut les services de police, les tribunaux et autres autorités judiciaires ou administratives compétentes.

 

🛂 Autorisation par le droit de l'union ou le droit d'un État membre

Le traitement peut également être autorisé si le droit de l'Union ou le droit d'un État membre le permet et prévoit des garanties appropriées pour les droits et libertés des personnes concernées.

Ces lois nationales ou européennes doivent définir clairement les conditions et limites du traitement.

 

📑 Registre complet des condamnations pénales

Un registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

Cela signifie que seules les autorités publiques peuvent gérer et conserver un tel registre.

 

Quels sont les risques en cas de mauvaise utilisation de ces données ?

Quelques exemples de conséquences potentielles sur les personnes concernées :

  • Discrimination et stigmatisation : discrimination à l'emploi, aux assurances, etc., basée sur des critères tels que l'orientation sexuelle, les croyances religieuses, ou l'état de santé, ...
  • Atteintes à la vie privée : exposition publique d'informations intimes, surveillance non autorisée via des données biométriques ou génétiques, ...
  • Préjudices psychologiques et émotionnels : stress émotionnel, anxiété, harcèlement, intimidation, et perte de confiance envers les institutions, ...
  • Préjudices physiques : violence et agressions basées sur l'orientation sexuelle ou les croyances, chantage utilisant des informations sur la santé, ...
  • Conséquences légales et financières : vol d'identité et fraudes financières, litiges liés à la divulgation ou l'utilisation abusive des données sensibles, ...

 

En cas de traitement de données sensibles, donc : assurer une protection maximale

Le traitement des données sensibles exige des mesures de protection strictes pour minimiser les risques pour les personnes concernées. Il est crucial de n'obtenir que les données nécessaires, de les anonymiser ou pseudonymiser lorsque possible, et de mettre en place des mesures de sécurité robustes telles que le chiffrement et l'accès restreint.

La formation continue du personnel sur la confidentialité, la réalisation régulière d'Analyses d'Impact sur la Protection des Données (AIPD ou DPIA), et la transparence avec les personnes concernées sont également essentielles.

En suivant de telles recommandations, les organismes peuvent garantir un traitement responsable et sécurisé des données sensibles.

 

_________________________________________

Article rédigé par Ninon MAIRE le 05/07/2024

 

ProDPO

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus

Pour partager cet article sur les réseaux sociaux

Je souhaites réserver un appel !