Les données sensibles dans le RGPD
La notion de données sensibles au sens du RGPD est centrale. Il est important de bien la comprendre pour identifier quelles données collectées ou traitées par votre organisation sont potentiellement sensibles. En effet, le RGPD impose un régime particulier, plus sévère, pour encadrer la gestion des données sensibles.
Les données sensibles s’opposent donc aux données personnelles “classiques” qui correspondent à une catégorie plus large regroupant toute information à partir desquelles on peut identifier une personne : pseudo, numéro client, informations sur les habitudes de consommation, etc. Parmi ces données, certaines sont considérées comme sensibles, c’est-à-dire qu’elles bénéficient en raison de leur nature d’une protection supplémentaire. Il faut donc bien comprendre d’une part ce qu’est une donnée sensible au sens du RGPD, et d’autre part les obligations auxquelles vous devez vous soumettre si toutefois vous traitez de telles données. Si c’est le cas, des solutions existent pour vous aider dans votre mise en conformité au RGPD.
Qu’est-ce qu’une donnée sensible au sens du RGPD ?
Les données sensibles sont en réalité un ensemble de données que le RGPD désigne et définit séparément dans son article 4. Au-delà de cette subtilité juridique, une donnée est sensible parce qu’elle porte sur des informations privées et confidentielles, voire dont la divulgation peut potentiellement porter préjudice à celui qu’elle concerne. C’est ce qui justifie la création de cette catégorie spécifique et la mise en place de sanctions supplémentaires par le RGPD.
En pratique, il s’agit d’abord des données génétiques, biométriques permettant d’identifier la personne de manière unique, ou encore les informations de santé. Ensuite, on trouve les données portant sur la vie sexuelle ou l’orientation sexuelle d’une personne. Viennent ensuite les informations sur une prétendue origine ethnique ou raciale. Enfin, on retrouve des données plus psychiques sur les opinions politiques, religieuses ou philosophiques, ou encore sur l’appartenance à une organisation syndicale.
Ce type de donnée est donc une sous-catégorie des données personnelles en général. Si vous souhaitez en savoir plus sur les notions fondamentales relatives au RGPD comme celle de données personnelles, vous pouvez consulter notre article récapitulatif : le RGPD pour les nuls.
Une fois les données sensibles traitées par votre organisation identifiées, que faire ? Quelles sont vos obligations ?
RGPD et données sensibles : quelles sont vos obligations ?
Avez-vous le droit d’utiliser ces données ?
Le RGPD est très sévère en ce qui concerne les données sensibles. En effet, le traitement des données sensibles est par principe et par défaut interdit. Pour pouvoir collecter certaines de ces données sensibles, il faut vous trouver dans les cas bien précis prévus par le texte.
En pratique, le traitement des données sensibles est autorisé lorsque :
- ces données sont nécessaires pour poursuivre un but médical ou de recherche ;
- les personnes concernées sont membres adhérents d’une association (religieuse, politique, etc) ;
- les personnes ont donné leur consentement. Pour le RGPD, ce consentement doit être explicite, clair et donné par écrit spécifiquement pour cette catégorie de données.
- le traitement est justifié par l’intérêt public et autorisé en amont par la CNIL.
L’utilisation des données sensibles encadré
Dans un premier temps, il vous faut naturellement vous assurer que vous êtes bien dans un des cas permettant le traitement des données sensibles. Une fois cette étape passée, quelles sont les obligations qui pèsent sur vous dans l’utilisation de ces données ?
En réalité, il n’y a pas d’obligations spécifiques aux données sensibles dans leur utilisation et dans leur traitement. Être en conformité avec le RGPD entendu de façon générale dans l’utilisation des données sensibles est donc en principe suffisant. Néanmoins, certains points méritent une attention particulière, parce que des manquements au RGPD dans le cas de données sensibles sont plus graves et donc entraînent des sanctions plus importantes.
Le premier point est celui de la documentation. Si vous traitez des données sensibles ou présentant des risques pour la liberté et les droits des personnes, vous devez être particulièrement vigilant sur vos obligations de documentation, notamment en ce qui concerne la tenue du registre de traitement des données. Par exemple, le RGPD laisse aux PME une certaine souplesse dans la tenue de ce registre. Cette souplesse disparaît lorsqu’il s’agit de données personnelles et toute opération de traitement doit être consignée et justifiée.
Le second point particulièrement critique pour ce qui est des données sensibles et celui de la sécurité. Il est nécessaire de vous assurer que la sécurité de la donnée est assurée et d’éviter tout risque de vol ou de fuite de données. Les conséquences d’une cyberattaque sont en effet plus importantes lorsque des données sensibles sont visées, tant pour les personnes concernées que pour vous. Des solutions de sécurisation de la donnée existent. Il est notamment conseillé de recourir au chiffrement systématique des données sensibles collectées par votre entreprise.
Seald peut vous aider dans la conduite de votre politique RGPD en assurant la sécurité de vos données ou encore la gestion des accès à la donnée.
Better Seald than sorry.