Peut-on collecter des données à caractère sensible ?

RGPD données à caractère sensible - RGPD cybersécurité SYSGUARD

Depuis son entrée en vigueur, le Règlement Général sur la Protection des Données (RGPD) a transformé la manière dont les organisations traitent les données personnelles. Au cœur de cette réglementation se trouvent les données à caractère sensible. A savoir, des informations clés dans la protection de la vie privée des individus.

Qu’est ce qu’une donnée sensible ? C’est ce que nous allons définir dans un premier temps. Puis nous aborderons le principe de non collecte de ces données sauf dans des cas précis.

Les données à caractères sensibles

Dans son article 9, le RGPD définit ce qu’il faut entendre par données à caractère sensible et pose une règle :

“Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.“

Cet article pose un principe : l’interdiction de collecter et traiter ces données. Cela peut aisément se comprendre car ces données relèvent de la vie privée, définie dans l’article 9 du Code Civil.

Cet article trouve son sens dans de nombreux domaines d’activités. On peut citer les ressources humaines par exemple où il vient renforcer les dispositions des articles 1131-1 et suivants du code du travail. Cet article dispose qu’un employeur n’a pas le droit de distinguer, de discriminer des salariés en raison de leurs couleurs de peau, de leurs appartenances religieuses, de leur genre etc.

Nous pouvons également les domaines de la santé, de la recherche etc.

Nous allons voir maintenant les exceptions à ce principe.

Les exceptions au principe de non traitement des données à caractère sensible

Si l’article 9 pose un principe. Il existe toutefois des exceptions que l’on peut qualifier d’encadrées :

  • La personne concernée donne son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique et informée).
  • Les informations sont rendues publiques par la personne concernée.
  • Les informations sont nécessaires à la sauvegarde de la vie humaine.
  • L’utilisation des informations se justifie par l’intérêt public. La CNIL donne son autorisation pour cela.
  • Elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale. 

Exemple : une personne s’inscrit sur un site de rencontres. Elle devra mentionner son sexe et son genre, soit des données sensibles. Dans ce cas, en cochant la politique de confidentialité et les conditions générales de vente dudit site, Elle donne son consentement car le site a besoin de savoir qui recherche l’adhérent. En effet, en précisant son genre (hétéro) le site ne va pas lui suggérer des personnes du même sexe que lui.

Autre exemple en matière de santé. Suite à un accident, les médecins ne vont pas demander certaines données à un patient qui devra être opéré en urgence. On se retrouve dans des circonstances de sauvegarde de la vie humaine.

Il convient d’être donc vigilant comme le rappelle la CNIL, quant à la collecte et l’usage de données sensibles.

Pour conclure

Les données à caractère sensible jouent un rôle crucial dans le RGPD en raison de leur potentiel élevé. Elles doivent être traitées de manière adéquate pour éviter de causer des préjudices aux individus. En garantissant le respect des principes fondamentaux de protection des données, toutes organisations doivent non seulement se conformer aux exigences du RGPD. Ces dispositions ont pour but de renforcer ainsi la confiance des individus dans leur capacité à protéger leur vie privée dans un monde numérique en évolution constante.

Besoin d’être accompagné pour être en conformité quant au RGPD ? Contactez-nous.

0 commentaires

Ecrit par Stéphane Rondelot

Juriste de formation, je suis expert en droit et en communication. Depuis plus de 20 ans, je forme les entreprises et les personnes en phase de création de société sur le droit des sociétés, l'économie et la communication. Passionné de nouvelles technologies, je me suis intéressé très tôt au droit de l'internet et bien entendu au RGPD.

Publié le 31 mai 2024