Données sensibles RGPD : liste art. 9 et exceptions 2026
Données sensibles (art. 9 RGPD) : liste, les 10 exceptions autorisant le traitement, obligations renforcées et données pénales (art. 10). Guide 2026.
L’essentiel. Les données sensibles sont une liste fermée fixée par l’article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, biométriques d’identification, données de santé, vie ou orientation sexuelle). Leur traitement est interdit par principe, sauf à relever de l’une des 10 exceptions de l’article 9(2) — le plus souvent le consentement explicite ou une obligation en droit du travail. S’ajoute une catégorie à part : les données pénales de l’article 10. Attention : « données sensibles » au sens RGPD n’a rien à voir avec les données « stratégiques » d’une entreprise.
Le RGPD impose une protection renforcée à certaines catégories de données dites « sensibles ». Ce sont des données considérées comme particulièrement à risque pour les personnes, et dont le régime juridique est plus strict que celui des données personnelles ordinaires.
Première erreur à éviter : confondre ces données — dont la liste est limitativement énumérée — avec des « données sensibles de votre entreprise ». Les données financières d’une société, un secret industriel, un fichier de prix ne sont pas des données personnelles sensibles au sens du RGPD. Le point est important, car on entend souvent, dans les organisations, que des moyens sont mis en œuvre pour protéger des « données sensibles » — sans que cela signifie que l’article 9 soit respecté, loin de là.
La première question à se poser est donc simple : opérez-vous un traitement de données sensibles ? Avant de vérifier que toutes les règles de droit sont respectées, il faut d’abord qualifier vos données.
La liste des données sensibles (article 9)
Les catégories protégées sont établies par les articles 9 et 10 du règlement. Vous opérez un traitement de données sensibles si vous traitez des données qui révèlent :
| Catégorie (art. 9(1)) | Exemples concrets |
|---|---|
| Origine raciale ou ethnique | Champ « origine » dans un fichier RH |
| Opinions politiques | Adhésion à un parti, dons politiques |
| Convictions religieuses ou philosophiques | Régime alimentaire confessionnel, congés religieux |
| Appartenance syndicale | Adhésion, mandat de représentation |
| Données génétiques | Résultats d’analyses ADN |
| Données biométriques (identification unique) | Empreinte digitale, gabarit facial d’un dispositif d’accès |
| Données concernant la santé | Arrêt maladie, aptitude, pathologie, handicap |
| Vie sexuelle ou orientation sexuelle | Information sur une relation, une orientation |
Cette liste est fermée : aucune autre catégorie ne bénéficie du régime de l’article 9. En revanche, à l’intérieur de ces catégories, l’interprétation est large. Pour approfondir la définition, voyez notre page dédiée aux données sensibles et le détail de l’article 9 du RGPD.
Les difficultés d’interprétation : le cas des données de santé
En pratique, les questions se concentrent sur les données de santé, dont le traitement est fréquent en droit du travail. La jurisprudence offre un exemple parlant : le fait, pour un employeur, de noter qu’une personne s’est blessée au pied et se trouve en congé maladie partiel constitue-t-il une donnée de santé ? La réponse, rendue sous l’empire de la directive de 1995 mais toujours pertinente, est oui :
« L’indication du fait qu’une personne s’est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé. » — CJCE, 6 novembre 2003, Lindqvist, C-101/01.
La logique est simple : les données sensibles sont des données dont le traitement crée des risques importants pour les personnes. Il faut donc en retenir une interprétation large pour assurer au mieux cette protection. Concrètement : en cas de doute sur l’appartenance d’une donnée à l’article 9, considérez par précaution que oui, vous opérez un traitement sensible.
Attention aussi à la notion de traitement, très large (art. 4(2)). Le simple fait d’enregistrer — même temporairement — une donnée de ce type déclenche l’application de l’article 9. On ne peut pas échapper à l’article 9 au motif que « les données ne sont pas conservées longtemps » : la collecte, la consultation ou l’enregistrement ponctuel suffisent.
Les obligations à respecter si vous traitez ces données
Le principe est que, par défaut, le traitement des données sensibles est interdit. Aussitôt posé, ce principe est assorti d’exceptions qui en autorisent le traitement. La démarche comporte donc deux temps : d’abord vérifier que l’on se situe dans l’un des cas prévus par l’article 9(2) ; ensuite — et c’est le plus exigeant — s’assurer que toutes les autres obligations du RGPD sont respectées à l’aune du risque particulier créé par ces données.
Étape 1 — Se situer dans une des 10 exceptions de l’article 9(2)
Le traitement n’est possible qu’à condition de relever de l’un des dix cas énumérés à l’article 9(2). Votre travail consiste à identifier, documenter et justifier lequel s’applique.
| Exception (art. 9(2)) | Condition résumée | Cas d’usage typique |
|---|---|---|
| a) Consentement explicite | Accord exprès pour une ou plusieurs finalités spécifiques | Formulaire de santé, biométrie volontaire |
| b) Droit du travail / sécurité sociale | Prévu par le droit ou une convention collective, avec garanties | Gestion des arrêts maladie, RQTH |
| c) Intérêts vitaux | Personne dans l’incapacité de consentir | Urgence médicale |
| d) Organisme à but non lucratif | Fondation, association, syndicat — membres uniquement | Fichier des adhérents d’un parti |
| e) Données manifestement rendues publiques | Par la personne elle-même | Opinion politique publiée publiquement |
| f) Droit en justice | Constatation, exercice ou défense d’un droit | Contentieux prud’homal |
| g) Motif d’intérêt public important | Base légale prévoyant des garanties | Traitements encadrés par la loi |
| h) Médecine préventive / du travail | Diagnostic, aptitude, prise en charge, sous secret | Médecine du travail |
| i) Intérêt public — santé publique | Menaces sanitaires, qualité des soins | Dispositifs de santé publique |
| j) Archivage, recherche, statistiques | Intérêt public, avec garanties (art. 89(1)) | Recherche scientifique |
Deux points de vigilance. Le consentement explicite (exception a) doit vraiment être justifié par un écrit dont il faut conserver la trace : la CNIL est particulièrement stricte sur ce point. Voyez à ce sujet notre modèle de consentement RGPD et notre page sur le consentement. Par ailleurs, l’exception ne dispense jamais de choisir aussi une base légale ordinaire au titre de l’article 6 : l’article 9 lève l’interdiction, mais l’article 6 reste requis (voir notre page sur la base légale).
Une fois l’exception identifiée, il faut la documenter, conformément au principe de responsabilité qui impose au responsable de traitement de pouvoir démontrer à tout moment le respect du règlement. C’est ici que la difficulté commence réellement.
Étape 2 — Respecter toutes les autres obligations du RGPD
Bénéficier d’une exception ne suffit pas. Comme ces données sont génératrices de risques, il faut relire chaque obligation du règlement à leur aune :
- Minimisation (art. 5(1)©). Le traitement est-il vraiment « adéquat, pertinent et limité à ce qui est nécessaire » ? Exemple : collecter l’origine ethnique lors d’une embauche est en principe illicite — sauf, par exemple, pour une agence de mannequins répondant à une demande légitime d’un client international (un mannequin correspondant à un casting précis). Dans ce cas, la collecte est adéquate ; elle ne le serait évidemment pas pour une entreprise ordinaire. Voir le principe de minimisation.
- Transparence et finalité (art. 5(1)(a) et (b)). Le traitement est-il réalisé de manière transparente et pour une finalité déterminée ? Une librairie en ligne qui conserve le détail des commandes peut, sans le vouloir, traiter des données révélant des convictions religieuses ou des données de santé (l’achat d’un ouvrage médical, par exemple). Ce traitement déclenche l’application de l’article 9. Voir le principe de finalité.
- Limitation de conservation (art. 5(1)(e)). Les durées sont-elles minimisées ? Reportez-vous à notre tableau des durées de conservation.
- Proportionnalité et sécurité (art. 5(1)(f), 32). Les mesures de sécurité sont-elles à la hauteur du risque ? Voir le principe de proportionnalité.
- Analyse d’impact (art. 35). Le traitement de données sensibles à grande échelle figure parmi les critères déclencheurs d’une AIPD. En contexte d’IA, la vigilance est encore accrue (voir l’AIPD pour l’intelligence artificielle).
En réalité, dès que vous traitez des données sensibles au-delà des obligations classiques (médecine du travail, gestion sociale), la sensibilisation des équipes devient indispensable : les risques de contentieux comme de sanctions sont réels. La meilleure façon d’avancer vite en conformité, sur ce terrain, est souvent la plus radicale : éviter de traiter ces données lorsque ce n’est pas indispensable. Documentez systématiquement vos traitements sensibles dans votre registre.
Les données pénales de l’article 10
Une seconde catégorie, beaucoup plus rare en entreprise, bénéficie d’une protection particulière : les données relatives aux condamnations pénales, aux infractions et aux mesures de sûreté (article 10).
Le traitement des données relatives aux condamnations pénales et aux infractions fondé sur l’article 6(1) ne peut être effectué que sous le contrôle de l’autorité publique, ou s’il est autorisé par le droit de l’Union ou d’un État membre prévoyant des garanties appropriées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique. — Art. 10 (résumé).
Ces données font l’objet d’une protection encore accrue, essentiellement pour éviter la constitution de « casiers judiciaires privés ». Leur traitement est donc très encadré — et rare dans le secteur privé. Attention : les données de l’article 10 ne sont pas des données de l’article 9 ; elles obéissent à leur propre régime, distinct de celui des données sensibles.
Les erreurs fréquentes en entreprise
Sur ce terrain, les mêmes maladresses reviennent, avec des conséquences juridiques sérieuses :
- Traiter des données sensibles sans le savoir. Le cas le plus fréquent. Un champ « commentaire » libre dans un CRM, un champ « régime alimentaire » sur un formulaire d’événement, une pièce jointe médicale dans une boîte mail : autant de traitements de l’article 9 qui s’ignorent. La qualification est un préalable — pas une formalité.
- Se croire couvert par le consentement « implicite ». L’article 9(2)(a) exige un consentement explicite : une case décochée par défaut, une acceptation générale de CGU ou un silence ne valent pas consentement. Documentez et conservez la preuve.
- Collecter par confort plutôt que par nécessité. Demander la carte vitale, un justificatif médical ou l’appartenance syndicale « pour compléter le dossier » viole la minimisation dès lors que la finalité ne l’exige pas.
- Conserver trop longtemps. Les données de santé issues d’un événement ponctuel (un accident, un arrêt) n’ont pas vocation à rester indéfiniment en base. Chaque donnée sensible doit avoir une durée courte et justifiée.
- Sécuriser insuffisamment. Le niveau de sécurité doit être proportionné au risque : des données de santé en clair dans un tableur partagé constituent un manquement caractérisé.
Comment avancer vite et bien
La règle d’or, sur les données sensibles, est contre-intuitive : le meilleur moyen d’être conforme est souvent de ne pas les traiter. Avant d’organiser tout un dispositif de protection, posez-vous la question de la nécessité réelle. Lorsque le traitement est indispensable (RH, santé, associations à finalité politique ou religieuse), procédez dans l’ordre : (1) qualifier la donnée, (2) sécuriser l’exception de l’article 9(2), (3) vérifier la base de l’article 6, (4) relire chaque obligation à l’aune du risque, (5) documenter le tout dans le registre et, si le traitement est significatif, réaliser une AIPD. Cette séquence simple évite l’essentiel des contentieux.
Secteurs particulièrement exposés
Certains secteurs traitent des données sensibles de façon structurelle et méritent une attention spécifique : les professionnels de santé (voir notre guide RGPD cabinet médical), les employeurs pour la gestion des arrêts maladie et de l’aptitude, les mutuelles et assureurs, les associations à caractère politique, religieux ou syndical. Pour ces acteurs, le traitement de données sensibles n’est pas une exception ponctuelle mais le cœur de l’activité : le dispositif de conformité doit être construit en conséquence, avec une information renforcée des personnes (voir les bonnes pratiques de l’article 12).
FAQ
Qu’est-ce qu’une donnée sensible au sens du RGPD ?
Une donnée sensible relève de l’une des catégories limitativement énumérées à l’article 9(1) : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques d’identification, données de santé, vie ou orientation sexuelle. Ce sont des données considérées comme particulièrement à risque, dont le traitement est interdit par principe.
Les données financières d’une entreprise sont-elles des données sensibles ?
Non. Les données « stratégiques » d’une entreprise (données financières, secrets industriels, fichiers de prix) ne sont pas des données personnelles sensibles au sens de l’article 9. La notion de données sensibles concerne uniquement des informations relatives à des personnes physiques et limitativement listées par le règlement.
Peut-on traiter des données sensibles avec le consentement ?
Oui, mais avec un consentement explicite (art. 9(2)(a)) : accord exprès, pour une ou plusieurs finalités spécifiques, dont il faut conserver la preuve écrite. Ce consentement s’ajoute au choix d’une base légale ordinaire de l’article 6. Certaines situations excluent toutefois cette voie lorsque le droit interdit de lever l’interdiction par simple consentement.
Les données de santé sont-elles toujours des données sensibles ?
Oui, dès qu’une information révèle l’état de santé physique ou mental d’une personne, elle relève de l’article 9. La jurisprudence retient une interprétation large : même l’indication d’une blessure et d’un congé maladie partiel constitue une donnée de santé (Lindqvist, 2003). Le simple enregistrement, même temporaire, suffit à déclencher le régime protecteur.
Une AIPD est-elle obligatoire pour un traitement de données sensibles ?
Pas systématiquement, mais le traitement de données sensibles à grande échelle figure parmi les critères qui rendent l’analyse d’impact obligatoire (art. 35). Dès qu’un traitement de données sensibles est significatif — par son volume, sa portée ou sa finalité — la réalisation d’une AIPD doit être sérieusement envisagée et documentée.
Quelle différence entre l’article 9 et l’article 10 du RGPD ?
L’article 9 régit les données sensibles (santé, opinions, biométrie, etc.), interdites par principe sauf exception de l’article 9(2). L’article 10 régit les données pénales (condamnations, infractions, mesures de sûreté), dont le traitement est réservé, en principe, au contrôle de l’autorité publique ou à une autorisation légale spécifique. Ce sont deux régimes distincts.
Comment recenser les traitements de données sensibles ?
Commencez par un inventaire de vos formulaires, bases et boîtes de réception pour repérer où des données de l’article 9 sont susceptibles d’apparaître, y compris de façon accidentelle (champs libres, pièces jointes, commentaires). Inscrivez chaque traitement sensible dans votre registre, avec sa finalité, l’exception de l’article 9(2) mobilisée, la base légale de l’article 6, la durée de conservation et les mesures de sécurité. Sur un périmètre étendu, un logiciel RGPD permet d’industrialiser ce recensement et de maintenir le registre à jour, ce qui facilite la démonstration de conformité en cas de contrôle de la CNIL. Ce travail de cartographie est le préalable indispensable à toute AIPD sur les traitements sensibles significatifs.