Données personnelles sensibles

I. Notion de donnée personnelle sensible

A. Définition

Données personnelles sensibles

Les traitements de données sensibles sont ceux « qui révèle[nt] l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le[s] traitement[s] des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique ».

- Article 9, 1° du Règlement général sur la protection des données

Le Règlement général sur le protection des données (RGPD) accorde une protection renforcée à certaines catégories de données personnelles en raison de leur sensibilité particulière au regard des libertés et des droits fondamentaux des individus. – Considérants 10 et 51 du Règlement général sur la protection des données

La notion de donnée personnelle sensible est large et vise à protéger les personnes contre une atteinte à leur libertés et droits fondamentaux.

B. Typologie des données personnelles sensibles

Plusieurs types de données entrent dans celle des données sensibles, parmi lesquelles, trois sont particulièrement protégées :

les données génétiques

Lexique : Données génétiques

« Données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question ».

- Article 4, 13° du Règlement général sur la protection des données

les données biométriques

Lexique : Données biométriques

« Données à caractère personnel résultant d’un traitement technique spécifique relatives aux caractéristiques physiques, physiologiques, ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ».

- Article 4, 14° du Règlement général sur la protection des données

les données concernant la santé

Lexique : Données concernant la santé

« Les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

- Article 4, 15° du Règlement général sur la protection des données

Prise en compte du contexte dans la qualification des données sensibles

Il ne suffit pas de tenir compte du contenu intrinsèque de la donnée (santé, biométrique, génétique, etc.) pour qualifier les données de données sensibles. Il faut également tenir compte de la finalité du traitement et de ses effets.

En effet, les données biométriques, par exemple, ne sont considérées comme sensibles que lorsqu’elles sont utilisées à des fins d’identification d’une personne physique de manière unique. Si elles sont traitées à d’autres fins, elles ne sont pas soumises aux règles de protection renforcée. – Article 9, 1° du Règlement général sur la protection des données

D’autres données qui, en apparence, ne sont pas sensibles peuvent le devenir si elles permettent de déduire l’état de santé d’une personne, après un croisement de données par exemple.

II. Régime juridique des données personnelles sensibles

A. Principe d'interdiction

« I.-Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique ».

– Article 6, I de la Loi informatique et libertés

Par principe, le traitement des données sensibles est interdit.

B. Exceptions au principe d'interdiction

Cependant, la loi prévoit des exceptions, parmi lesquelles figurent :

la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf si l’interdiction ne peut être levée par la personne concernée selon le droit de l’Union européenne ou le droit français ;
le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;
le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union européenne ou du droit français ;
le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

La Loi informatique et libertés ajoutent d'autres exceptions parmi lesquelles :

les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d'une profession de santé ;
les traitements statistiques réalisés par l'Institut national de la statistique et des études économiques ou l'un des services statistiques ministériels dans le respect de la Loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques, après avis du Conseil national de l'information statistique ;
les traitements comportant des données concernant la santé justifiés par l'intérêt public ;
les traitements nécessaires à la recherche publique au sens de l'article L. 112-1 du code de la recherche, sous réserve que des motifs d'intérêt public important les rendent nécessaires, après avis motivé et publié de la CNIL.

- Article 44 de la Loi informatique et libertés

Recherche publique

Il est intéressant de noter que la recherche scientifique est ici strictement entendue puisque cantonnée à la recherche publique, là où la notion est au contraire largement définie par le RGPD, excluant alors les hypothèses de recherche partenariale ou les activités de recherche participative généralement assurées par des associations ou organisations non gouvernementales.

Tout traitement de données sensibles doit remplir plusieurs exigences :

justifier d'une exception à l'interdiction générale du traitement des données sensibles ;
respecter la procédure d'avis adéquate selon le type de finalité concerné ;
respecter les principes applicables aux traitements de données personnelles, notamment la finalité du traitement, la minimisation des données et l’information des personnes concernées ;
désigner un délégué à la protection des données (DPO), chargé de veiller à la conformité du traitement (Sécurité des données personnelles) ;
réaliser une analyse d’impact sur la protection des données (AIPD), qui est généralement requise pour évaluer les risques associés et garantir des mesures de protection adaptées (Sécurité des données personnelles).