Javascript is required
logo-dastralogo-dastra

La protection des données sensibles

La protection des données sensibles
Jérôme de Mercey
Jérôme de Mercey
7 janvier 2022·6 minutes de lecture

Protection particulière des données sensibles

Dès 1974, la société civile prend conscience que certaines données doivent bénéficier d’une protection renforcée. Il s'agit notamment les données sensibles du point de vue des libertés et droits fondamentaux, telles que celles qui touchent à l’intimité des individus, l’identité humaine, ou qui présentent un risque élevé pour les personnes si leur usage est mauvais. Il s'agit des données dites "sensibles" .

D'autres types de données font également l'objet d'une protection particulière : le numéro de sécurité sociale, les données relatives aux condamnations pénales, les infractions, les mesures de sûreté, etc.

Le traitement de ces données ne peut donc se faire sans le respect d’un cadre juridique strict.

Définition des données sensibles (article 9.1 du RGPD) : le principe d’interdiction

Les données dites sensibles ou particulières sont par principe interdites par le RGPD car elles relèvent de l’intimité de la vie privée. Les données sensibles sont :

  • Les origines raciales ou ethniques
  • Les opinions politiques
  • Les convictions philosophiques ou religieuses
  • L’appartenance syndicale
  • La santé (physique ou mentale)
  • La vie sexuelle ou l’orientation sexuelle
  • Les données génétiques
  • Les données biométriques aux fins d’identifier une personne physique

NB: Il s'agit de bien différencier les données sensibles au sens du RGPD (telles que celles décrites ci-dessous) et les données présentant une certaine sensibilité : données bancaires, données financières, données couvertes par un secret industriel. Ces données présentant une sensibilité ne sont pas soumises à des règles spécifiques en matière de traitement.

Exceptions au principe d’interdiction

Il existe quelques exceptions au principe d'interdiction :

  • Les données fournies par la personne concernées avec son consentement explicite,
  • Les données nécessaires à l’exécution des obligations en matière de droit du travail et en droit social,
  • Les données nécessaires à la sauvegarde des intérêts vitaux de la personne,
  • Les données traitées pour la gestion des membres d’un organisme à but non lucratif (politique, philosophique, religieux, syndical),
  • Les données rendues publiques par la personne concernée,
  • Les données nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice,
  • Les données nécessaires pour des motifs d’intérêt public important,
  • Les données nécessaires à des fins médicales (médecine préventive, diagnostics, gestion des services de santé, etc.),
  • Les données nécessaires pour des motifs d’intérêt public dans le domaine de la santé publique,
  • Les données nécessaires à des fin d’archives pour l’intérêt public, la recherche scientifique ou historique,
  • Les données à des fins de statistiques sous réserve de garanties.

La CNIL conseille de se référer à l’article 9 du RGPD (9.2 notamment), ainsi qu’au principe de licéité du traitement, pour plus de précision, car dans la documentation à fournir à la CNIL, il y a la nécessité de justifier la nature sensible des données et le caractère licite du traitement.

Par exemple, pour un site de rencontre : le site devra recueillir le consentement explicite de la personne pour lever l’interdiction de traitement lié à l’orientation sexuelle.

Le cas du consentement explicite

Dans le cadre d'une données sensibles, la règle du consentement explicite s'applique en plus d’être libre, spécifique, éclairé, univoque et facilement révocable. Le terme explicite se rapporte à la façon dont le consentement est exprimé par la personne concernée. Il implique que la personne concernée doit formuler une déclaration de consentement exprès.

Quelques exemples sont alors prévus pour le responsable de traitement :

  • Une case de recueil du consentement non pré-cochée
  • Une déclaration écrite et signée par la personne concernée
  • L’envoi d’une vérification par email à la personne qui consent au traitement de ces données sensibles.

Le cas des données relatives aux condamnations pénales et aux infractions

Concernant les données relatives aux condamnations pénales et aux infractions, bien qu'elles ne soient pas qualifiées comme données sensibles, elles restent néanmoins très protégées. En effet, l’objectif est de prévenir d’éventuels casiers judiciaires privés.

Elles peuvent être traitées uniquement par :

  • Les juridictions, autorités publiques, et personnes morales gérant un service public,
  • Les auxiliaires de justice, dans l’exercice de leur mission prévue par la loi (tels que les avocats, les huissiers),
  • Les personnes physiques ou morales pour la défense des intérêts en tant que victimes ou mise en cause,
  • Les sociétés de perception et de répartition des droits d’auteur et organismes de défense des droits d’auteur.

Le numéro de sécurité sociale - le NIR

Bien qu'il ne soit pas considéré comme sensible au sens de l'article 9 du RGPD. Le NIR ou numéro d’inscription au répertoire national des personnes physiques, bénéficie d'une protection particulière par le RGPD comme le rappelle son article 87.

Ce numéro permet de faire figurer pour une personne :

  • Le sexe
  • L’année de naissance
  • Le mois de naissance,
  • Le département,
  • Le code INSEE, commune naissance
  • Le n°ordre de l’Insee,
  • La clé.

Le NIR est protégé par la loi française et en particulier par le décret "cadre NIR".

Concernant le traitement du NIR (ou numéro de sécurité sociale), seuls quelques organismes sont habilités par un décret en Conseil d’état. C'est le cas par exemple des organismes de sécurité sociale, des professionnels de santé, des employeurs publics ou privés (pour la gestion de la paie et le calcul des cotisations), et de pôle emploi pour le paiement des cotisations sociales des demandeurs d’emploi.

Les cas particuliers : les traitements non soumis à cette restriction

Il existe des cas particuliers qui sont exclusivement les traitements à finalités de statistiques publiques, de recherche scientifique ou de recherche historique. Il s'agit aussi de certains traitements ayant pour objet la mise à disposition des usagers d’un téléservice de l’administration électronique, ou encore de certains traitements du NIR peuvent également être mis en oeuvre sous réserve de l’autorisation de la CNIL.

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.