On verra donc ce que vous devez faire pour vous mettre en conformité avec le RGPD si vous traitez ces données.
I - La liste des données sensibles RGPD
Ces données sont énumérées aux articles 9 et 10 du règlement et sont, toute donnée faisant apparaître de manière directe ou indirecte :
- l’origine raciale ou ethnique des personnes ;
- les opinions politiques, les convictions religieuses ou philosophiques ;
- l’appartenance syndicale ;
- les données génétiques ;
- les données biométriques aux fins d’identifier une personne physique de manière unique ;
- les données concernant la santé ;
- les données concernant la vie sexuelle ou ;
- des données faisant apparaître l’orientation sexuelle d’une personne physique.
A cette liste il faut ajouter également la liste des données article 10 qui sont les données faisant apparaître :
- les condamnations pénales
- les infractions
- les mesures de sûreté
Attention, il ne faut pas confondre “données sensibles RGPD” avec “données sensibles”. En effet, chaque organisation a des données qu’elle considère comme étant sensibles - par exemple des données financières. Toutefois, si ces données ne font pas partie de la liste énumérée à l’article 9 ou 10 du RGPD, elle ne seront pas alors considérées comme sensibles au sens du RGPD et l’organisation n’aura pas à respecter les obligations juridiques imposées par ces articles.
Notez également qu’il faut entendre cette liste de manière large : par exemple, il a été jugé qu’une indication qu’une personne s’est blessée au pied dans un dossier RH est une donnée sensible au sens de l’article 9.
II - Le régime juridique des données sensibles et comment se mettre en conformité
L’objectif du RGPD en listant ces données comme étant sensibles est de prévoir une protection spécifique lors de leur traitement. En effet, le règlement considère que ces données sont susceptibles de créer des risques particuliers pour les personnes, et à ce titre, méritent une protection supplémentaire - ce qui est le cas des données médicales par exemple.
La première chose à faire si vous devez traiter ces données, est de s’assurer que vous êtes bien dans un des cas prévu par la loi qui autorise leur traitement. Le RGPD énonce 10 cas spécifiquement dans l’article 9.2 qui vous autorisent à opérer leur traitement. Je cite ici le premier cas - qui est lorsque leur traitement repose sur le consentement explicite :
la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;
Vous pouvez voir l’ensemble des autres cas ici, si vous souhaitez approfondir le sujet.
Une fois que l’on s’est assuré d’être dans l’un des cas spécifiques il est nécessaire ensuite d’intégrer l’ensemble des obligations du RGPD au traitement, et c’est là ou les choses se compliquent.
En effet, toutes les obligations imposées par le RGPD en temps normal vont être accrues, car le traitement en cause va générer des risques beaucoup plus importants pour les personnes. À ce titre, par exemple,
- les obligations de sécurité vont devoir être examinées beaucoup plus rigoureusement
- les principes généraux - comme le principe de minimisation va devoir être étudié minutieusement
- de même que le principe de transparence
- ou encore la PIA ou l’AIPD
Au sujet de la PIA, la CNIL a publié une liste de traitements pour lesquels une PIA est toujours obligatoire, voici celles qui comportent des données sensibles :
- Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médicosociaux pour la prise en charge des personnes
- Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.).
- Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire
- Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre
- Traitements de données biométriques aux fins d’identifier une personne physique de manière unique parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.)
- Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes
Et les risques d’amende pour l’organisation seront également beaucoup plus importants. En réalité, si vous opérez le traitement de données sensible, il est impératif de former votre personnel.
Voici quelques précisions sur les données de santé en particulier avec la jurisprudence de 2003 :