Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Samedi 28 mars 2026
Accueil/RGPD/Les données sensibles RGPD : définition, exemples et règles
RGPD

Les données sensibles RGPD : définition, exemples et règles

Données sensibles RGPD : définition légale, liste complète, interdictions, exceptions et obligations pratiques pour les organisations.

Par Thiébaut DevergrannePublie le 10 janvier 2026Mis a jour le 10 janvier 202612 min de lecture
Sommaire
  1. Définition juridique des données sensibles
  2. Les catégories de données sensibles
  3. Les exceptions à l’interdiction de traitement
  4. Les obligations renforcées
  5. Cas pratiques par secteur
  6. Les erreurs à éviter
  7. L’approche privacy by design
  8. FAQ

Les données sensibles occupent une place à part dans le dispositif du RGPD. Leur traitement est en principe interdit, et les exceptions à cette interdiction sont strictement encadrées. Pourtant, de nombreuses organisations traitent des données sensibles sans le savoir – ou sans avoir mis en place les garanties appropriées. Les conséquences peuvent être lourdes : les sanctions de la CNIL pour traitement illicite de données sensibles figurent parmi les plus élevées.

Cet article détaille la définition légale des données sensibles, la liste exhaustive des catégories concernées, les exceptions autorisant leur traitement et les mesures à mettre en place.

Définition juridique des données sensibles

Ce que dit le RGPD

L’article 9 du RGPD utilise l’expression « catégories particulières de données à caractère personnel ». Le paragraphe 1 pose le principe d’interdiction : « Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits. »

Cette interdiction de principe est fondamentale. Elle signifie que, par défaut, aucune organisation ne peut traiter ces données. Le traitement n’est licite que si l’une des dix exceptions prévues par l’article 9(2) s’applique.

La distinction avec les données “à risque”

Il ne faut pas confondre les données sensibles au sens strict de l’article 9 avec d’autres catégories de données qui présentent des risques élevés mais ne relèvent pas de ce régime spécifique. Les données bancaires, les numéros de sécurité sociale, les données de géolocalisation ou les données relatives aux infractions pénales (article 10 du RGPD) ne sont pas des “données sensibles” au sens de l’article 9, même si elles nécessitent des mesures de protection renforcées.

Cette distinction a des implications pratiques directes : le régime juridique applicable n’est pas le même.

Les catégories de données sensibles

1. Origine raciale ou ethnique

Toute donnée qui révèle directement ou indirectement l’origine raciale ou ethnique d’une personne. Cela inclut la nationalité lorsqu’elle est utilisée comme indicateur d’origine ethnique, la couleur de peau mentionnée dans un fichier, ou des photographies permettant de déduire l’origine ethnique.

2. Opinions politiques

Les affiliations à des partis politiques, les participations à des manifestations, les dons à des organisations politiques, les résultats de sondages nominatifs sur les intentions de vote, ou tout commentaire exprimant des convictions politiques associé à une personne identifiable.

3. Convictions religieuses ou philosophiques

L’appartenance à une communauté religieuse, les pratiques alimentaires motivées par des convictions religieuses (dans un contexte de cantine scolaire ou d’entreprise, par exemple), les demandes de jours de congé pour des fêtes religieuses, ou l’adhésion à des courants philosophiques.

4. Appartenance syndicale

La simple information qu’une personne est membre d’un syndicat constitue une donnée sensible. Cela inclut les prélèvements de cotisations syndicales sur les bulletins de paie, la participation à des réunions syndicales, ou l’exercice d’un mandat syndical.

5. Données génétiques

L’article 4(13) du RGPD les définit comme « les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question ».

Les résultats de tests ADN, les analyses chromosomiques et les séquençages génomiques entrent dans cette catégorie.

6. Données biométriques

Définies à l’article 4(14) comme « les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique ».

Ne sont concernées que les données biométriques utilisées à des fins d’identification unique : empreintes digitales, reconnaissance faciale, reconnaissance vocale, reconnaissance de l’iris. Une simple photographie n’est pas une donnée biométrique, sauf si elle fait l’objet d’un traitement technique spécifique permettant l’identification unique (reconnaissance faciale).

7. Données de santé

C’est la catégorie la plus fréquemment rencontrée en pratique. L’article 4(15) du RGPD définit les données de santé de manière large : « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

Sont notamment considérées comme données de santé :

  • Les dossiers médicaux et prescriptions.
  • Les arrêts de travail (y compris la simple mention de leur existence).
  • Les résultats d’analyses et d’examens médicaux.
  • L’adhésion à une mutuelle santé spécifique (qui peut révéler un état de santé).
  • Les données collectées par des objets connectés de santé (montres, applications de suivi).
  • Le handicap d’une personne.
  • Le groupe sanguin.

8. Données concernant la vie sexuelle ou l’orientation sexuelle

Toute donnée qui révèle directement ou indirectement la vie sexuelle ou l’orientation sexuelle d’une personne : statut sérologique, informations sur des pratiques sexuelles, orientation sexuelle déclarée ou déduite.

Les exceptions à l’interdiction de traitement

L’article 9(2) du RGPD prévoit dix exceptions à l’interdiction de traitement des données sensibles. Les plus fréquemment invoquées en pratique sont les suivantes.

Le consentement explicite (article 9(2)(a))

La personne concernée a donné son consentement explicite au traitement pour une ou plusieurs finalités spécifiques. Le consentement doit être non seulement libre, spécifique, éclairé et univoque (conditions de l’article 7), mais également explicite – ce qui impose un standard plus élevé qu’un simple acte positif clair. Une déclaration écrite ou orale expresse est généralement nécessaire. Les modalités de recueil du consentement RGPD doivent être adaptées en conséquence.

Les obligations en droit du travail et de la protection sociale (article 9(2)(b))

Le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale. C’est cette exception qui permet, par exemple, de traiter des données relatives à l’appartenance syndicale dans le cadre de la gestion des heures de délégation, ou des données de santé dans le cadre de la médecine du travail.

Les motifs d’intérêt public dans le domaine de la santé publique (article 9(2)(i))

Cette exception autorise le traitement pour des motifs d’intérêt public dans le domaine de la santé publique, comme la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé.

La médecine préventive ou professionnelle (article 9(2)(h))

Le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale.

Les obligations renforcées

L’analyse d’impact (AIPD)

Le traitement de données sensibles à grande échelle figure explicitement dans la liste des traitements nécessitant une analyse d’impact relative à la protection des données (AIPD), conformément à l’article 35 du RGPD. La CNIL a publié une liste des traitements pour lesquels l’AIPD est obligatoire, qui inclut notamment les traitements de données de santé à grande échelle.

L’AIPD doit être réalisée avant le lancement du traitement et documentée de manière complète.

La sécurité renforcée

L’article 32 du RGPD impose des mesures de sécurité proportionnées au risque. Le traitement de données sensibles augmente mécaniquement le niveau de risque et impose donc des mesures renforcées :

  • Chiffrement systématique des données sensibles au repos et en transit.
  • Contrôle d’accès strict – seules les personnes ayant une nécessité fonctionnelle doivent pouvoir accéder à ces données.
  • Traçabilité des accès (journalisation).
  • Pseudonymisation lorsque c’est possible.
  • Sauvegardes chiffrées et séparées.

En cas de violation de données portant sur des données sensibles, la notification à la CNIL est quasi systématiquement obligatoire, de même que l’information des personnes concernées.

Le registre des traitements

Les traitements de données sensibles doivent être clairement identifiés dans le registre des traitements, avec mention de l’exception de l’article 9(2) invoquée, des mesures de sécurité spécifiques et de la durée de conservation.

Le DPO

La désignation d’un DPO est obligatoire lorsque les activités de base du responsable de traitement consistent en un traitement à grande échelle de catégories particulières de données (article 37(1)© du RGPD).

Cas pratiques par secteur

Secteur des ressources humaines

Les services RH traitent régulièrement des données sensibles : arrêts maladie, reconnaissance de travailleur handicapé, cotisations syndicales, visites de médecine du travail. L’exception applicable est généralement l’article 9(2)(b) (droit du travail). Les accès doivent être strictement limités aux personnes habilitées du service RH.

Secteur de la santé

Les professionnels de santé et établissements de soins traitent massivement des données de santé. L’exception applicable est l’article 9(2)(h). Le référentiel de sécurité applicable est renforcé et inclut des exigences spécifiques comme l’hébergement certifié HDS (Hébergeur de Données de Santé).

Secteur associatif

Les associations à caractère religieux, politique, philosophique ou syndical traitent par nature des données sensibles révélant les convictions de leurs membres. L’article 9(2)(d) prévoit une exception spécifique pour les traitements effectués par un organisme à but non lucratif dans le cadre de ses activités légitimes, à condition que le traitement se rapporte aux seuls membres ou anciens membres et que les données ne soient pas communiquées en dehors de l’organisme sans le consentement des personnes.

Recherche scientifique

Les projets de recherche impliquant des données sensibles (génétiques, de santé) peuvent invoquer l’exception de l’article 9(2)(j), sous réserve que le traitement soit fondé sur le droit de l’Union ou le droit d’un État membre, qu’il soit proportionné à l’objectif poursuivi et qu’il respecte les droits fondamentaux des personnes. En France, un avis de la CNIL est généralement requis via une procédure de demande d’autorisation spécifique.

Les erreurs à éviter

  1. Collecter des données sensibles “au cas où” – Le principe de minimisation (article 5(1)©) s’applique avec une rigueur particulière aux données sensibles. Ne collectez que ce qui est strictement nécessaire.

  2. Confondre données sensibles et données confidentielles – Un numéro de carte bancaire est confidentiel mais pas “sensible” au sens de l’article 9. Les régimes juridiques sont différents.

  3. Oublier les données sensibles indirectes – Un régime alimentaire spécifique dans un fichier de cantine peut révéler des convictions religieuses. Une adaptation de poste de travail peut révéler un état de santé. La qualification de donnée sensible s’apprécie au regard de ce que la donnée révèle, pas seulement de ce qu’elle contient littéralement.

  4. Ne pas documenter l’exception invoquée – Le registre des traitements doit mentionner explicitement l’exception de l’article 9(2) sur laquelle repose la licéité du traitement. L’absence de documentation est un manquement en soi.

L’approche privacy by design

Le traitement de données sensibles impose de mettre en oeuvre le principe de protection dès la conception de manière particulièrement rigoureuse. Avant de lancer tout nouveau traitement impliquant des données sensibles, posez-vous systématiquement trois questions :

  1. Est-il possible d’atteindre la finalité sans traiter de données sensibles ?
  2. Si non, quelle exception de l’article 9(2) s’applique ?
  3. Les mesures techniques et organisationnelles sont-elles proportionnées au risque ?

Un audit RGPD régulier permet de vérifier que les traitements de données sensibles restent conformes dans le temps.

FAQ

Les données relatives aux infractions pénales sont-elles des données sensibles ?

Non. Les données relatives aux condamnations pénales et aux infractions sont régies par l’article 10 du RGPD, distinct de l’article 9. Le régime juridique est différent : l’article 10 ne pose pas une interdiction de principe avec des exceptions, mais soumet le traitement à des conditions spécifiques, notamment la nécessité d’un fondement en droit de l’Union ou d’un État membre. En France, l’article 46 de la loi Informatique et Libertés encadre strictement ces traitements.

Une photographie est-elle une donnée sensible ?

En elle-même, une photographie d’identité n’est pas une donnée sensible au sens de l’article 9. Elle le devient si elle fait l’objet d’un traitement technique spécifique de reconnaissance faciale permettant l’identification unique de la personne (donnée biométrique). Elle peut également être considérée comme révélant indirectement l’origine ethnique si elle est utilisée à cette fin.

Le NIR (numéro de sécurité sociale) est-il une donnée sensible ?

Le NIR n’est pas une donnée sensible au sens de l’article 9 du RGPD. Cependant, son traitement est strictement encadré en droit français par l’article 87 du RGPD et par le décret n° 2019-341 du 19 avril 2019 relatif à la mise en oeuvre de traitements comportant l’usage du NIR. Seuls les traitements répondant à des finalités limitativement énumérées peuvent utiliser le NIR comme identifiant.

Un employeur peut-il traiter des données de santé de ses salariés ?

L’employeur peut traiter certaines données de santé dans le cadre strict de ses obligations légales : gestion des arrêts maladie, déclaration d’accidents du travail, adaptation du poste de travail sur recommandation du médecin du travail. L’exception applicable est l’article 9(2)(b) du RGPD. En revanche, l’employeur n’a pas accès au diagnostic médical – seul le médecin du travail peut accéder aux informations médicales détaillées. Les données de santé traitées par le service RH doivent être strictement limitées à ce qui est nécessaire à la gestion administrative.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Cout de la mise en conformite RGPD : budget et ROI pour les PME

19 janvier 2026 · 8 min
RGPD

RGPD et consentement : tout ce que vous devez savoir

18 janvier 2026 · 10 min
RGPD

Les donnees sont-elles des biens ? Le debat juridique fondamental

18 janvier 2026 · 8 min