Licence CC BY

La gestion des données sensibles

Je le mentionnais au début du cours, certaines données sont considérées sensibles, et sont directement listées par le texte du Règlement. Ces données, de par leur caractère sensible, sont bien évidemment à protéger avec beaucoup de soin, et nous verrons en quoi cela impose des mesures accrues en termes de protection, sécurité et confidentialité.

Qu’est-ce qu’une donnée sensible et cas général

Avant tout traitement de donnes, il est nécessaire de vérifier si les données à traiter ne sont pas considérées sensibles ; c’est un cas très particulier, car le Règlement permet de traiter n’importe quelle donnée. Pour éviter les abus, le RGPD établi directement1 la liste des données à caractère sensible, mais elle peut être complétée par les États selon leurs propres règles internes. Trois cas sont à ne pas confondre lors du traitement de données : les données à caractère sensible, les données d’infraction, et le numéro de sécurité sociale.

Pour le premier cas, concernant les données sensibles, icelles doivent relever d’un des champs suivants pour que les règles mentionnées ci-après s’appliquent :

  • l’origine raciale ou ethnique ;
  • les opinions politiques ou l’appartenance syndicale ;
  • les convictions religieuses ou philosophiques ;
  • le traitement des données génétiques, y compris des données biométriques aux fins d’identifier une personne ;
  • les données concernant la santé ;
  • les données concernant la vie sexuelle ou l’orientation sexuelle.

La collecte de ces données est interdite en toutes circonstances, sauf quelques rares exceptions que nous verrons ci-après, il faut en tout cas être extrêmement vigilant lors de la collecte de ces données ; tout traitement de données sensibles devrait immédiatement alerter le responsable du traitement ou l’utilisateur dont les données ont été traitées, car une vérification légale s’impose alors.

Concernant les données d’infraction, elles ne font l’objet d’aucune des exceptions2 que nous verrons plus bas ; ces données ne peuvent être traitées que sous contrôle de l’autorité publique. En particulier, tout registre complet de condamnation ne peut être tenu que sous le contrôle de l’autorité publique – notez ce mot de contrôle, qui précise que le traitement peut être effectué par un organisme privé, tant qu’il agit sous la subordination directe de l’autorité publique, c’est la fameuse sous-traitance dont nous parlions plus tôt, appliquée aux administrations. Les données de suspicion sont soumises aux mêmes règles de traitement, et donc limitées aux cas de nécessité de l’autorité publique.

Enfin, le numéro de sécurité sociale n’est pas considéré par le RGPD comme une donnée sensible, mais il l’est au niveau de la loi française actuellement, et comme il est possible pour les législateurs nationaux d’ajouter certains types de données sensibles, il est probable que cette loi reste – rappelez-vous du projet SAFARI, qui avait fait scandale à l’époque ; il faudra donc surveiller les transpositions des différents pays, ainsi que la jurisprudence de la CJUE à ce sujet.

  1. RGPD, art. 9 

  2. RGPD, art. 10 

Des exceptions rares

Les données à caractère sensible peuvent toutefois être traitées dans certains cas d’exceptions, lorsqu’une loi particulière le permet, elles peuvent alors être traitées avec les précautions que nous verrons ci-dessous. Par exemple, les données sensibles relatives aux employés peuvent dans certains cas être stockées par l’employeur lorsque la convention collective le permet1 ; aussi, des dispositions spécifiques s’appliquent aux banques et assurances concernant les données de leurs clients2.

Par ailleurs, une liste est prévue par le RGPD pour autoriser dans certains cas le traitement de données sensibles, lorsque aucune loi particulière ne le permet, dans les cas suivants3 :

  • lorsque la personne concernée a donné son consentement explicite, un cas qui revient souvent dans le RGPD comme vous avez sûrement pu le remarquer : tout peut être traité sous réserve de consentement explicite ; dans ce cas, le consentement doit comme toujours être éclairé, ce qui signifie que vous devez préciser à l’utilisateur que vous traitez des données sensibles ;
  • le traitement est strictement nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne visée par le traitement n’est pas apte à donner son consentement ; encore une fois, nous avons déjà traité ce cas, avec l’exemple de l’hospitalisation en urgence ;
  • si le traitement de données concernant les opinions politiques, l’appartenance syndicale, les convictions religieuses ou philosophiques est effectué par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, pour la liste exclusive de ses membres, sous réserve de garanties appropriées et sans que le fichier soit diffusé ;
  • lorsque les données sont manifestement publiques, ou ont été rendues publiques par la personne concernée ;
  • le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’UE ou de dispositions spécifiques d’un État membre, sous réserve de proportionnalité entre l’objectif poursuivi et le respect des droits fondamentaux ; on parle ici du droit particulier du renseignement, qui doit tout de même prévoir des garanties de respect des droits des personnes ;
  • les données de santé sont traitées par un professionnel de la santé soumis au secret médical ou « lorsque le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux », sous réserve de dispositions de l’UE ou d’un État membre ;
  • à des fins statistiques, historiques ou archivistiques, sous réserve de respecter le droit des personnes.

Concernant les données d’infraction, je mentionnais ci-dessus qu’aucune des exceptions n’y était applicable, mais le législateur en prévoit tout de même une, bien différente, qui concerne le traitement de données pour son propre contentieux4 ; on pourrait citer deux exemples, celui de l’entreprise impliquée dans des affaires judiciaires et ayant besoin de stocker les données relatives au contentieux, tant les informations concernant son entreprise que celles concernant la partie adverse.

  1. RGPD, art. 9, alinéa 2.b 

  2. Voir la page thématique de la CNIL 

  3. RGPD, art. 9, alinéa 2 

  4. RGPD, art. 10 

En cas de traitement : des procédures renforcées

Informations à l’utilisateur et hygiène numérique

Le Règlement précise que lorsque le traitement est fondé sur base de données sensibles, il est nécessaire d’informer l’utilisateur de son droit à retirer son consentement1 (règle générale) en même temps qu’il est informé de tout les points que nous avons mentionnés dans l’obligation de transparence. Ce droit doit lui être rappelle lorsqu’il en fait demande, et il doit absolument être applicable, c’est-à-dire que si le traitement n’est fondé que sur le consentement de l’utilisateur, et qu’il retire son consentement, le traitement doit alors cesser2.

En cas d’autres dispositions (ou exceptions) qui autorisent le traitement, il est en tout cas nécessaire de considérer le retrait du consentement de la personne concernée, particulièrement en ce qui concerne le transfert des données à d’autres entités, qui peut se retrouver interrompu, ou simplement rompu, car la sensibilité des données doit particulièrement être prise en compte lors du transfert des données, que ce soit hors UE ou à une organisation externe située dans l’Union.

Aussi, il sera nécessaire d’effectuer une formation du personnel afin de le sensibiliser à ces problématiques, en considérant les mesures à mettre en place à leur niveau, sous la supervision particulière du DPD, qui doit en tout cas jouer un rôle majeur dans la détermination du droit de traitement de ces données sensibles, ainsi que dans la mise en place de processus de démonstration de la conformité.

Sécurité et confidentialité

Au niveau de la confidentialité, elle doit nécessairement être renforcée, et comme nous le mentionnons ci-avant, tout passage par un sous-traitant, transmission à une entreprise externe ou transfert dans un pays non-conforme devra être scrupuleusement vérifié : il faudra ainsi adjoindre à vos BCR des dispositions à ce sujet ; notons enfin que les « Models Contracts » dont nous parlions à la partie précédente ne sont pas applicables dans le cas de données sensibles, une gouvernance des données concernant toute l’entreprise devra alors être mise en place.

Comme je le mentionnais ci-avant, le traitement de données à caractère sensible est l’un des cas où le recours à un DPD est obligatoire3 au niveau du RGPD (cela vaut donc dans tout les pays européens). Le DPD doit donc assurer, de part ses connaissances nécessaires au sécurité informatique, que toute les mesures nécessaires sont mises en œuvre pour protéger les données des personnes.

Cela passe en particulier par une pseudonymisation des données sensibles, et leur répartition sur plusieurs bases de données et serveurs différents, afin d’éviter les fuites totales permettant l’identification des personnes en cas de vol de données. Une autre mesure technique importante à mettre en place lors du traitement de données sensibles est le chiffrement, si possible de bout-en-bout lors des communications, et éventuellement un chiffrement complet sur le serveur, ce qui évite les fuites dangereuses pour les utilisateurs.

  1. RGPD, art. 13, alinéa 2.c 

  2. RGPD, art. 17, alinéa 1.b 

  3. RGPD, art. 37, alinéa 1.c 

Le point important de cette partie est de vous amener à toujours vous demander si certaines données que vous traitez, ou serez amenés à traiter, sont dites sensibles au niveau du Règlement ; il faut pour cela vous référer à une interprétation stricte de la liste fournie. Après avoir déterminé si vous traitez des données sensibles, n’oubliez pas de vous demander si vous en avez le droit, en déterminant l’exception applicable.