Le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur. Un tsunami pour les entreprises (et leurs sous-traitants). Au cœur du projet : la protection des données personnelles des individus, et en particulier en ce qui concerne les données les plus sensibles.
Leur traitement est désormais strictement encadré sur le territoire européen. Tous les pays de l’UE (Union européenne) observent la même réglementation : une réglementation pensée pour accompagner les évolutions technologiques et sociétales (recours aux outils digitaux, e-commerce...).
Responsables des données personnelles en leur possession (celles des ressortissants européens), les professionnels doivent protéger et sécuriser ce patrimoine informationnel.
Problème : plusieurs années après son entrée en vigueur, l'application du RGPD reste compliquée pour nombre d’entre eux.
Vraisemblablement, les données personnelles et, a fortiori, les données sensibles demeurent des notions dont les frontières sont difficiles à appréhender par de nombreuses sociétés.
Vous en faites partie ? Leto vous guide pas à pas 😉.
Qu’est-ce qu’une donnée personnelle ? Qu’est-ce qu’une donnée sensible ? Quelles sont les règles du RGPD concernant ces données? Quelles sont vos obligations en matière de traitement des données sensibles ?
À la fin de votre lecture, les données personnelles et sensibles n’auront plus aucun secret pour vous.
Données personnelles et données sensibles au sens du RGPD : quelles différences ?
Avant d’aborder la notion de donnée sensible, il est essentiel de définir, celle, plus large, de donnée personnelle.
La donnée personnelle : la notion clé du RGPD
La donnée personnelle est une notion volontairement large et exhaustive. En vertu de l’article 4 RGPD, il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement.
Ces données sont celles qui permettent :
- une identification directe : nom, prénom, photographie, adresse postale, adresse email etc.
- une identification indirecte: numéro de sécurité social, adresse IP, numéro de téléphone, identifiants clients, comportement de navigation, plaque d’immatriculation etc.
L’identification d’une personne peut se faire à partir d’une donnée seule, par exemple via l’ADN, ou par croisement des données personnelles.
Par exemple, les informations selon lesquelles un individu est abonné au magazine Gloire & Beauté, qu’il réside au 2 Boulevard Schrem au Luxembourg, et qu’il est né le 16 juillet 1978 est un croisement de données personnelles permettant in fine d’identifier une personne physique.
Qu'est-ce qu'un traitement de données personnelles ?
L’article 4 RGPD définit un traitement de données personnelles comme toute opération sur une donnée à caractère personnel : collecte, enregistrement, utilisation, transmission, pseudonymisation, destruction etc.
Un traitement est tout ce qui peut possiblement être fait sur une donnée personnelle.
💡 Pour rappel, pour être licite, un traitement de données personnelles doit être fondée sur un fondement juridique (ou base légale) comme par exemple le consentement de la personne.
Il doit également être traité en vertue d’une finalité, c’est à dire un objectif déterminé. Vous ne pouvez pas collecter et stocker des données personnelles “au cas où”.
Enfin, vous devez vous astreindre à ne collecter que les données personnelles strictement nécessaires à remplir cette finalité. Ce principe est encore appelé minimisation des données.
→ Concrètement, vous ne pouvez pas demander à un candidat pour un poste, la profession de ses parents car ce n'est pas nécessaire (minimisation) pour la finalité (le recrutement).
Qu'est-ce qui n'est pas une donnée personnelle ?
La notion de données personnelles ne concerne que celles relatives à une personne physique. Sont donc exclues de cette définition toutes les données se rapportant à une personne morale : entreprise, organisme privé ou public, État etc.
⚠️ Même dans une relation B2B il y a de la donnée à caractère personnel dans la mesure où derrière une entreprise se cache toujours une personne physique. Et dans ce cas, la donnée personnelle sera relative à l’email professionnel et l’identité de la personne physique représentant l’entreprise.
RGPD : qu’est-ce qu’une donnée sensible ?
Parmi ces données à caractère personnel, une catégorie doit être traitée avec plus de précautions encore : ce sont les données sensibles. Qu’appelle-t-on des données sensibles ?
L’article 9 du RGPD énonce les catégorie de données considérées comme sensibles, et donc interdites de tout traitement à ce titre, sauf exceptions. Il s’agit des données suivantes :
- Informations relatives à l’origine raciale ou ethnique,
- Informations relatives aux opinions politiques,
- Informations relatives aux convictions religieuses ou philosophiques,
- Informations relatives à l’appartenance syndicale,
- Informations relatives à la vie sexuelle ou orientation sexuelle,
- Données génétiques,
- Données biométriques (permettant l’identification d’une personne unique),
- Donnée de santé.
💡 Pour rappel, les informations relatives aux condamnations pénales bénéficient d’une protection similaire prévue à l’article 10 RGPD.
En vérité, les catégories de données listées à l’article 9 RGPD sont extrêmement larges. Par exemple :
- La photo ou le nom d’un candidat à un emploi, peuvent contenir des informations sur ses origines ethniques et raciales que l’employeur traite lors de la procédure de recrutement.
- L’achat d’un livre religieux est une information relative aux convictions religieuses qu’un site de e-commerce peut être amené à traiter.
- Les données de santé correspondent à une catégorie particulièrement large : identité du médecin en charge de cette personne, type de traitement pris, état de santé passé, présent et futur etc.
Comment savoir si vous traitez une donnée sensible ? Tout dépend du contexte !
→ Le groupe 29 (organe consultatif de l’Union européenne sur la protection des données), dans son rapport, explique que le risque de traitement de données sensibles dépend “non pas du contenu des données elles-mêmes mais du contexte dans lequel elles sont utilisées” à l’exception de “certaines catégories de données peut, en tant que tel, porter préjudice aux droits et intérêts des individus”.
- Les catégories de données considérées comme sensibles en tant que telles sont les données biométriques, génétiques et certaines données de santé qui comportent un risque pour la vie privée en elles-mêmes. Pour ces données, seules les exceptions prévues au paragraphe suivant permettent un traitement de ces données.
- Pour le reste, c’est la finalité du traitement qui va être déterminant pour la qualification de donnée sensible.
Comment traiter des données sensibles dans le cadre strict du RGPD ?
RGPD et données sensibles : une interdiction de traitement
La réponse simple serait : “PAS”, vous ne devriez pas traiter les données sensibles, quand bien même vous avez déterminé une finalité et une base légale.
En effet, l’article 9 RGPD prévoit que le traitement des données à caractère personnel sensible est interdit. Il s’agit d’une interdiction de principe.
Mais qui dit principe, dit exception ! A quelles conditions pouvez-vous traiter des données sensibles ?
Données sensibles : les exceptions à l'interdiction de traitement
Le RGPD a défini des “cas d'autorisation de traitement” des données sensibles. Vous êtes autorisés à les collecter et les utiliser uniquement dans les cas suivants :
- Le consentement de la personne concernée.
N’est pas interdit le traitement de données personnelles sensibles pour lequel la personne concernée a consenti.
💡 Pour rappel, le consentement désigne toute manifestation de volonté libre, univoque et par un acte positif. Cela signifie que le consentement doit pouvoir être exprimé librement, en connaissance de cause et de manière explicite. Tout en sachant que le consentement peut être retiré à tout moment.
Dans certains cas, le consentement de la personne concernée ne permet pas le traitement des données personnelles sensibles :
- Le consentement ne peut pas permettre le traitement de données personnelles relatives aux condamnations pénales.
- Le consentement n’est pas admis dans les situations de dépendance vis-à-vis du responsable de traitement, par exemple l’employeur ou futur employeur est le responsable de traitement.
- Le traitement est nécessaire à l’exécution d’obligations du responsable de traitement.
Cette exception concerne les situations où un responsable de traitement, par exemple un employeur, collecte des données pour les besoins d’un contrat en droit du travail, de la sécurité sociale ou de la protection sociale.
Par exemple, dans le cadre d’un contrat de travail, l’employeur est amené à traiter des données relatives à la santé de ses employés dans le cadre des arrêts maladie.
💡 Pour rappel, les données à caractère personnel doivent être traitées de manière pertinente et limitée à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (article 5 RGPD). Ce principe est encore appelé “minimisation des données”.
Ainsi, si l’on reprend notre exemple, si cette exception permet à l’employeur de collecter certaines données relatives à l’arrêt maladie d’un salarié, il n’est pas admis de traiter des données relatives à son traitement médicamenteux par exemple car cette donnée n’est pas nécessaire dans une relation de travail.
- La sauvegarde des intérêts vitaux.
Cette exception désigne les situations spécifiques liées au sauvetage de vie humaine (par exemple connaître le groupe sanguin d’une personne inconsciente), activités humanitaires ou gestion d’une épidémie.
Par hypothèse, cette exception ne concerne donc que les organismes de santé, États, organisations internationales, organismes investis d’une mission de service public.
- Le traitement est effectué par une fondation, association ou organisme à but non lucratif.
Ici aussi, le RGPD fait référence à un cas spécifique où le traitement est effectué par une fondation, association, organisme à but non lucratif.
L’article 9 prévoit que cette exception n’est admise que lorsque
- Le but de l’organisation n’est pas lucratif,
- La finalité est politique, philosophie, religieuse ou syndicale,
- Le traitement est relatif aux membres ou personnes liées contractuellement à l’organisation,
- Les données ne peuvent être communiquées en dehors de l’organisation sans le consentement des personnes concernées.
Par exemple, un parti politique peut traiter les données personnelles relatives aux positions politiques de ses membres lorsque ces informations ne sont pas communiquées en dehors du parti sans le consentement de la personne concernée.
Cette exception est compréhensible dans la mesure où un groupe syndicale, une organisation politique, une ONG est naturellement amené à traiter les opinions politiques, philosophiques, syndicales ou religieuses de ses membres.
- Les données rendues publiques par la personne concernée.
Assez simplement, il est logique de considérer que du moment où la personne concernée rend publique elle-même l’information en cause, la protection qui lui ait accordé n’a plus aucune utilité.
Par exemple, le Conseil d’Etat a constaté qu’une personne ne pouvait pas demander la suppression ou le déréférencement de données relatives à sa sexualité sur Google dès lors que ces informations “sont issues du roman à caractère autobiographique” de la personne concernée et qu’ainsi “les données en cause doivent être regardées comme ayant été manifestement rendues publiques”. Pour en savoir plus sur la décision, c’est par ici.
- Le traitement est nécessaire à l’exercice ou la défense d’un droit en justice.
Par nature, cette exception concerne en particulier les professions réglementées du droit telles que les avocats, notaires, magistrats (tribunaux, cours, etc.), huissiers etc.
Cette exception se comprend d’autant plus que ces métiers sont soumis au secret professionnel empêchant toute divulgation de ces données.
- Le traitement est nécessaire pour des motifs d’intérêt public important.
Cette exception est encore assez mal cernée tant elle est rédigée de manière floue.
Par référence à l’article 6 §1 e) qui prévoit que le traitement n’est licite que s’il est “nécessaire à l'exécution d'une mission d'intérêt public”, on peut facilement imaginer que sont concernés les acteurs publics (administrations, organismes chargés d’une mission de service public) dans le cadre de leurs missions.
Cependant, on imagine plus difficilement le contour de la notion de d’intérêt public “important” permettant alors aux institutions publiques de traiter des données personnelles sensibles.
Pour l’instant, aucune jurisprudence ne s’est prononcée sur le sujet, affaire à suivre 👀 !
- Le traitement est nécessaire aux fins de médecine préventive et médecine du travail.
Cette exception englobe toute la sphère de la médecine : de la médecine préventive jusqu’à la médecine du travail.
Comme pour les avocats, cette exception se comprend car ces métiers sont soumis au secret médical.
- Le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique.
Cette exception est le pendant de l’exception concernant la médecine pour les hôpitaux publics.
- Le traitement est nécessaire aux archives, à la recherche scientifique, historique ou statistique.
Cette exception permet de faire obstacle à l’interdiction de traitement des données sensibles lorsqu’ils sont nécessaires aux archives historiques et recherches scientifiques.
La donnée sensible : vos obligations vis-à-vis du RGPD
En principe, le traitement des données sensibles est interdit. Nous avons néanmoins vu que certaines exceptions vous permettent d’utiliser ces données dans des cas précis. Pour être sûr de pouvoir utiliser ces données, vérifier les éléments suivants :
- Vous trouvez bien dans l’un des cas d’exception prévu par ce texte
- Respectez bien les autres obligations du RGPD : finalité, base légale, minimisation des données et sécurisation des données.
Prenons un exemple : vous désirez lancer une nouvelle application mobile. Voici les questions que vous devez vous poser avant de démarrer votre projet :
- Quelles données collectées sont pertinentes par rapport à mon service ?
- Quels types de données allez-vous recueillir ?
- Votre traitement respecte-t-il le principe de la minimisation des données ?
- Avez-vous informé, en toute transparence et explicitement, les personnes concernées (par exemple avec une politique de confidentialité sur votre site Internet) ?
- La durée de conservation est-elle justifiée ?
- Vos actions sont-elles documentées (avec un registre de données) ?
- Les mesures de sécurisation sont-elles suffisantes ? Avez-vous développé une procédure en cas de fuite ?
- Pouvez-vous répondre, dans les délais, aux demandes des clients souhaitant exercer leurs droits (accès, rectification…) ?
Gestion des données sensibles : les bonnes pratiques
L'utilisation de ces données sensibles exigeant une protection et une sécurisation renforcée, le RGPD vous oblige à nommer un délégué à la protection des données (DPO).
De plus, il existe de grande chance que vous soyez également dans l’obligation de réaliser une étude d’impact (PIA). Pour en être certain, il convient de se référer à la liste de critère permettant de savoir si un PIA est obligatoire ou non.
- réaliser une étude d'impact,
- à nommer un délégué à la protection des données (DPO).
Pour bien gérer les données sensibles, vous devez d’abord être en capacité de distinguer les données sensibles des données à caractère personnel dont le traitement est autorisé par le RGPD. Ensuite, vérifiez que vous êtes bien autorisés à les utiliser (cas d’exceptions de traitement, respect des obligations du RGPD). Ensuite, pour un maximum de sécurité, l’idéal est de leur appliquer un traitement spécifique et sécurisé :
- Pseudonymisation : cette technique consiste à remplacer des informations d'identification par des identifiants artificiels pour empêcher l’identification d’une personne en particulier.
- Cryptage : cette technique permet d’autoriser l’accès aux données à un nombre restreint de personnes.
Ces deux techniques de sécurité renforcées sont recommandées par la CNIL pour assurer la confidentialité des données sensibles.
Une sensibilisation et une formation du personnel sont indispensables.
RGPD et données sensibles : un maître-mot, la PRÉCAUTION.
Vous en savez désormais un peu plus sur les données sensibles. Votre leitmotiv en cas de traitement : la PRÉCAUTION.
Un traitement et une protection spécifiques sont nécessaires.
- En cas de manquement à la protection de ces données sensibles, vous vous exposez à des sanctions financières pouvant être lourdes ainsi qu’à des répercussions néfastes sur l’entreprise : 20 000 000 d’euros ou 4 % du chiffre d'affaires annuel mondial ;
- Perte de confiance des clients ;
- Déficit d’image.
🔎 Rappelez-vous que :
- En principe, le traitement des données sensibles est interdit,
- Certains cas d’autorisation de traitement vous toutefois autorisent à traiter les données sensibles,
- Si vous vous trouvez dans un cas d’autorisation de traitement, vérifiez également que vous respectez bien les autres obligations du RGPD (finalité du traitement etc),
- Pour être sûr de respecter le RGPD en matière de données sensibles : il est recommandé de mettre en place des mesures de confidentialité supplémentaires (anonymisation, cryptage …).
Des interrogations subsistent sur votre conformité RGPD ? Le logiciel RGPD Leto vous accompagne à chaque étape. Réserver une démo avec nos experts.