Données sensibles et RGPD : quelles règles pour les traiter ?

Mis à jour : août 25


Le RGPD est le règlement européen qui a définit ce qu'est une donnée à caractère personnel et plus listé des catégories de données que l'on appelle souvent données sensibles. Avec le RGPD, les règles en matière de traitement des données sensibles ont été renforcées; les conséquences du non-respect de ces règles sont sans précédent ( possible dommages et intérêts à payer aux personnes lésées; sanction possible jusqu'à 4% du CA global).


Pour toute entreprise opérant en France, il est donc important de savoir si elle traite des données sensibles, si c'est le cas, appliquer les bonnes règles pour se conformer au RGPD et à la Loi Informatique et Liberté.



Qu'est-ce qu'une donnée sensible ?


Une donnée sensible fait référence :

  • aux données génétiques

  • aux données biométriques

  • aux données de santé

  • aux données concernant la vie sexuelle ou l'orientation sexuelle

  • à toute donnée à caractère personne qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale

La plupart des entreprises traitent au moins un type de donnée sensible : les données de santé. En effet, les ressources humaines sont amenées à gérer les absences pour raison de santé, des arrêt maladie et bien souvent traitent donc des documents contenant des informations sur la santé des collaborateurs.


Comment traiter les données sensibles dans le respect du RGPD ?


Il est possible de traiter des données sensibles, dès lors que les exigences du RGPD (et de la Loi Informatique et liberté sont respectées). Ces exigences spécifiques au traitement des données sensibles viennent s'ajouter aux règles générales applicables à tout traitement de donnée personnelle.


Pour être autorisé à traiter des données sensibles, une entreprise doit être dans l'un des cas suivants :

  • le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherches scientifiques, historique ou statistiques

  • le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique ou sur la base du droit d'Union ou du droit d'un État membre

  • le traitement est nécessaire aux fins de médecine préventives ou de la médecine du travail, de diagnostics médicaux ou de prise en charge sanitaire

  • Le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que les juridictions agissent dans le cadre de leur fonction juridictionnelle

  • Le traitement porte sur des données personnelles qui sont manifestement rendues publiques par la personne concernée

  • le traitement est effectué dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicales. Dans ce cas précis, le traitement ne peut concerner que les membres actifs ou passés de l'organisation ou des personnes entretenant des liens régulier avec cet organisme

  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux

  • Le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable de traitement ou la personne concernée

  • la personne concernée a donné son consentement


La plupart des entreprises (hors associations, hôpitaux, ONG) seront donc amenées à traiter des données sensibles dans le cadre de l'exécution d'un contrat (par exemple les assureurs) ou dans la grande majorité des cas avec le consentement de la personn concernée.


Mais quel que soit le cas de figure dans lequel se trouve votre entreprise, des mesures spécifiques sont à respecter, en plus de celles applicables au traitement de données personnelles.


Stockage des données


Vous devez porter une attention particulière au stockage des données sensibles. S'il s'agit de données de santé, il vous faudra faire appel aux services d'un hébergeur qui a obtenu la certification HDS.


Attention: La nécessité d'utiliser un hébergeur certifié HDS découle de la Loi Informatique et Liberté et s'applique donc uniquement en France


Analyse d'impact, violation des données, droit des personnes


Vous devez réaliser une analyse d'impact sur la vie privée, pour identifier les mesures techniques et organisationnelles à mettre en place pour protéger les données sensibles.


En cas de violation de données touchant des données sensibles, les personnes concernées doivent être prévenues (vous devez faire une notification publique si besoin), ainsi que la CNIL.



En résumé


Le traitement des données sensibles est très encadré dans le RGPD et la Loi informatique et Liberté a renforcé les règles de traitement, notamment pour les données de santé.

Assure-vous toujours que vous-mêmes et vos sous-traitants respectent les exigences en matière de traitement de données sensible.

+33 1 73 29 32 04

©2020 par Stratechno.  Vos données