Attention toutefois, la première erreur à éviter est de confondre ces données – dont la liste est spécifiquement énumérée – avec des « données sensibles de votre entreprise« . Par exemple : des données financières d’une entreprise ne sont pas des données personnelles sensibles au sens RGPD ! Le point est important car vous entendrez souvent dans les organisations le fait que des moyens sont mis en oeuvre pour protéger des données sensibles – mais cela ne veut pas dire que le RGPD est respecté, loin de là.
La première question à se poser est d’abord de déterminer si vous opérez un traitement de données sensibles, avant de vous assurer que l’ensemble des règles de droit sont bien respectées.
I – La liste des données dites sensibles
Les choses sont relativement simples de ce côté puisque la liste est établie par les articles 9 et 10 du règlement qui classe les données suivantes comme nécessitant une protection particulière.
A – La liste de l’article 9
Vous opérez un traitement de données sensibles si vous traitez des données qui révèlent :
- l’origine raciale ou ethnique ;
- les opinions politiques, les convictions religieuses ou philosophiques ;
- ou l’appartenance syndicale ;
- le traitement des données génétiques ;
- des données biométriques aux fins d’identifier une personne physique de manière unique ;
- des données concernant la santé ;
- des données concernant la vie sexuelle ou ;
- l’orientation sexuelle d’une personne physique.
B – Les problèmes d’interprétation de certaines catégories de données
Cette liste a la vertu de la clarté, car elle détermine assez bien le périmètre des données sensibles. Dans la pratique les questions se posent souvent autour des données de santé, dont le traitement est fréquent en matière de droit du travail.
La jurisprudence nous offre un cas pratique assez intéressant qui posait la question de savoir si le fait, pour un employeur, de noter dans un fichier qu’une personne s’est blessée au pied est une donnée de santé ? La réponse, donnée sous l’empire de la directive de 1995, est oui :
CJCE, 6 novembre 2003 :
« L’indication du fait qu’une personne s’est blessée au pied et est en congé de maladie partiel constitue une données à caractère personnel relative à la santé (…) » – Ref. CJCE, 6 nov. 2003, Comm. com. élec. 2004.
En fait il y a une logique simple derrière cette conclusion : les données sensibles sont des données dont le traitement va causer des risques importants pour les personnes. Il est donc important d’en avoir une interprétation large afin d’assurer au mieux cette protection.
Donc si vous avez un doute sur le fait qu’une donnée entre ou non dans une de ces catégories, par précaution considérez que oui vous opérez un traitement relevant de l’article 9.
A ce titre, voici quelques précisions sur les données de santé en particulier avec la jurisprudence dont je parlais (qui date de 2003 et non de 2012…) :
A ce titre, attention également à la notion de traitement qui est large et bien définie par le RGPD. Le fait d’enregistrer – même temporairement – une donnée de ce type va engendrer l’application du règlement, il n’est pas possible d’éviter l’application de l’article 9 en raison du fait que les données « ne sont pas conservées par l’entreprise très longtemps » (!). A ce titre, je vous renvoi à l’article 4 qui définit ce qu’est un traitement en détail :
«traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;
II – Les obligations à respecter si vous traitez ces données
Le principe est que par défaut le traitement de ces données est interdit. Evidemment, une fois posé, le principe est immédiatement assorti d’une série d’exceptions qui autorisent le traitement de ces données.
La première étape est donc de s’assurer que l’on se situe dans le cadre d’une des 10 exception prévues par la loi. Ensuite – et c’est la partie la plus difficile – il faut s’assurer que toutes les autres obligations du RGPD sont bien respectées au regard du traitement des données sensibles.
A – S’assurer d’être dans un cas prévu par le règlement
Il est évidemment possible d’opérer le traitement de données sensibles mais à condition d’être dans l’un des cas prévus par le règlement.
Il existe 10 cas spécifiquement énumérés par l’article 9.2 que je reproduit ici en résumant les choses ; si vous devez traiter des données sensibles, votre travail consiste à vous assurer que vous êtes bien dans l’une de ces situations :
a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;
b) le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union, par le droit d’un État membre ou par une convention collective conclue en vertu du droit d’un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée;
c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement;
d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées;
e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;
f) le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle;
g) le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un ‘État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée;
h) le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3;
i) le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel;
j) le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l’article 89, paragraphe 1, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.
D’un point de vue juridique, il faut être très précautionneux et très rigoureux dans l’appréciation de ces conditions car la CNIL est également très sensible et très stricte à leur sujet. En particulier il faut faire attention au consentement explicite des personnes qui doit vraiment être justifié par un écrit dont il est nécessaire de conserver la trace ensuite.
Si vous avez cerné votre exception, il sera ensuite important de la documenter – conformément à l’article 24 du règlement qui impose au responsable de traitement d’être en mesure à tout moment de démontrer que le RGPD est bien respecté. On entre là dans la partie la plus complexe liée au traitement des données sensibles qui est leur impact sur toutes les autres obligations posées par le règlement : comme elles sont génératrices de risques pour les personnes, il faudra analyser l’ensemble des obligations au regard de ces risques.
B- S’assurer que toutes les autres obligations du RGPD sont respectées au regard des données sensibles
S’il est indispensable de s’assurer de bénéficier d’une des exceptions prévues par l’article 9.2 le traitement de données sensibles impose de s’assurer également de toutes les autres obligations du règlement sont bien respectées au regard de cette catégorie spécifique de données. C’est là ou le travail se complique puisqu’il faut documenter et s’assurer que leur traitement est bien conforme aux prescriptions légales.
Voici quelques exemples :
- Est-ce que le traitement des données sensibles est vraiment « adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » comme l’impose l’article 5.1.c. Par exemple, vous allez certainement dire que le fait de collecter des données relative aux origines raciales lors d’une embauche est illicite et ne respecte pas le règlement. C’est vrai, sauf évidemment pour les agences de mannequins qui ont besoin d’opérer ce traitement lorsqu’elles ont des clients internationaux qui peuvent avoir des demandes légitimes en ce sens (ex: un mannequin asiatique pour réaliser un tournage au Japon). Dans un tel cas, la collecte de ces données est adéquate et pertinente par rapport au traitement. Elle ne le sera évidemment pas pour une entreprise classique.
- De même est-ce que le traitement de ces données est réalisé de manière transparente par rapport aux personnes concernées (obligation imposée par l’article 5.1.a) ? Ou encore que les délais de conservation de ces données sont minimisés. Un exemple est une librairie en ligne, qui conserve le détail des commandes de livres de ses clients, qui peuvent dans certains cas relever les opinions religieuses, ou des données de santé (ex : l’achat d’un livre « comment guérir du cancer »…). Ce type de traitement va générer l’application de l’article 9 et de toutes les protections juridiques qui vont avec qui sont prévues par le règlement.
- De même, est-ce que les mesures de sécurité mises en oeuvre sont adéquates par rapport aux risques qui existent pour les personnes sur ces données ?
En réalité, si vous opérez le traitement de données sensibles (disons au-delà des obligations légales classiques de la médecine du travail), il est indispensable de former le personnel de votre organisation, car les risques de contentieux, autant que de sanctions sont réels. Il existe de nombreux cas dans lesquels on peut avancer rapidement dans la conformité, mais le traitement des données sensibles n’en fait pas partie. La seule manière d’aller vite pour avancer dans la conformité, est de s’assurer d’éviter de traiter ces données.
Les données de l’article 10 (condamnations pénales…)
La seconde catégorie de données à prendre en compte également (mais beaucoup plus rare en entreprise) – et qui bénéficie d’une protection particulier tient aux données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté.
Art. 10 – Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions
Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un ‘État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.
Ces données font l’objet d’une protection encore accrue – essentiellement ici pour éviter l’existence de casiers judiciaires privés, leur traitement est donc très complexe – mais aussi très rare dans les entreprises privées.