Le traitement des données sensibles demande une vigilance accrue de la part des entreprises et des administrations qui stockent de la data. Le Règlement Général sur la Protection des Données va justement instaurer des règles concernant les données dites sensibles. Qu’est-ce qu’une donnée sensible tout d’abord et quels seront les règlements du RGPD à propos du traitement des données sensibles ?
Qu’est-ce qu’une donnée sensible ?
Selon la CNIL, les données sensibles sont les données qui font apparaître directement ou de manière indirecte les opinions politiques, philosophiques ou religieuses, les origines raciales ou ethniques, les appartenances syndicales des personnes, les informations concernant la santé ou l’orientation sexuelle d’individus. Voici un bon exemple avec une décision prise par la Cour de Justice des Communautés Européennes en 2003 : « L’indication du fait qu’une personne s’est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l’article 8, §1, de la directive 95/46 ».
Les règles du RGPD sur le traitement des données sensibles
Le traitement des données particulières selon le RGPD
Avec le Règlement Général sur la Protection des Données, les entreprises n’auront pas le droit de récupérer les données « particulières », autrement dit les données mentionnées par la CNIL en définition de la donnée sensible en plus des données biométriques et génétiques.
Des exceptions existeront cependant (avec un ensemble de conditions connexes dont nous ne préciserons pas tous les détails complexes ici) :
– avec le consentement explicite de la personne concernée ; un consentement qui vise une ou plusieurs finalités déterminées
– pour exécuter des tâches primordiales en rapport avec le droit du travail, la sécurité et la protection sociales
– pour le traitement de données nécessaire à la sauvegarde des intérêts vitaux d’une personne
– pour un traitement de données sensibles effectué dans le cadre d’activités légitimes et considérant des garanties appropriées par un organisme à but non lucratif
– au sujet des données rendues publiques par la personne concernée
– pour un traitement des données qui sert à l’exercice ou à la défense d’un droit en justice
– pour le traitement de données à des fins d’intérêt public important ou concernant le domaine de la santé publique
– à des fins de médecine préventive, de médecine du travail, de diagnostics médicaux, etc.
– au sujet du traitement des datas à des fins de recherche, pour la statistique et l’archivage.
Les données génétiques, biométriques et de santé pourront être sujet à des conditions supplémentaires et/ou des limitations par les Etats membres de l’UE.
Le traitement des données en rapport avec les infractions et les condamnations
Traiter des données relatives aux infractions, aux condamnations pénales et à des mesures de sûreté dépendront de conditions stipulées par le RGPD : les traitements des données devront être réalisés sous surveillance de l’autorité publique ou avec une autorisation du droit de l’Union Européenne ou du droit d’un Etat membre de l’UE.