Comprendre ce qui rend une donnée sensible est essentiel pour mieux protéger la confidentialité de chacun. Voyons ensemble ce qui caractérise une donnée sensible.
Une donnée sensible est une donnée à caractère personnel
Pour comprendre ce que sont les données sensibles, il faut d'abord rappeler ce que sont les données à caractère personnel.
Une donnée personnelle est toute information permettant d'identifier directement ou indirectement une personne physique. Cela inclut des éléments aussi évidents que le nom, l'adresse, ou le numéro de téléphone, mais aussi toutes les informations se rapportant à une personne physique vivante identifiée ou identifiable.
Une donnée sensible, en revanche, est un sous-ensemble des données personnelles. Elle se distingue par sa capacité à révéler des aspects particulièrement privés de la vie d'une personne.
Catégories de Données Sensibles selon le RGPD
Le RGPD identifie clairement les catégories de données sensibles. Ces données, en raison de leur nature, nécessitent une protection renforcée. Voici quelques exemples :
- Origine raciale ou ethnique
- Opinions politiques
- Croyances religieuses ou philosophiques
- Appartenance syndicale
- Données de santé
- Données génétiques ou biométriques
- Données concernant la vie sexuelle ou l'orientation sexuelle
Ces données, si elles sont mal gérées ou divulguées, peuvent avoir des conséquences graves sur la vie privée des individus. Le risque est non seulement d'ordre juridique, mais aussi d'ordre social et psychologique, ce qui justifie une réglementation stricte.
Données indirectement sensibles
Il existe des situations où des données qui ne sont pas directement sensibles peuvent néanmoins être utilisées pour déduire des informations sensibles. C'est ce que l'on appelle des données indirectement sensibles.
En août 2022, la Cour de justice de l’Union Européenne a étendu la définition des données sensibles à ces données indirectes. Cela signifie que même des informations qui, en apparence, ne sont pas sensibles doivent être traitées avec une attention particulière si elles permettent de déduire des informations protégées. Si c'est le cas, ces informations doivent être traitées comme le seraient des données sensibles.
Un cas réel permet d'illustrer cette notion : une entreprise qui collecte les prénoms des conjoints de ses employés peut, en analysant ces prénoms, tirer des conclusions sur l'orientation sexuelle de certains employés. Ce type de déduction est maintenant reconnu comme un traitement de données sensibles, exigeant une protection spécifique.
Obligations imposées aux traitements de données sensibles
Le traitement des données sensibles impose des obligations plus strictes que celles des données personnelles ordinaires.
Un consentement nécessaire
Le traitement de ces données nécessite le consentement explicite de la personne concernée, sauf dans des cas très spécifiques prévus par la loi. Ce consentement doit être éclairé, c'est-à-dire que la personne doit être pleinement informée des raisons pour lesquelles ses données sont collectées et de la manière dont elles seront utilisées.
Limiter les personnes habilitées à consulter l'information
L'accès aux données sensibles doit être strictement contrôlé. Seules les personnes ayant une nécessité absolue de traiter ces données doivent y avoir accès. Cela implique la mise en place de mesures techniques, comme le chiffrement, ainsi que des mesures organisationnelles, comme la limitation des accès dans les systèmes d'information.
Avec quelques exceptions
Le RGPD prévoir quelques cas dans lesquels les données sensibles peuvent tout de même être traitées :
- si elles sont rendues publiques par la personne concernée
- si elles sont nécessaires à la sauvegarde de la vie humaine
- si leur utilisation est autorisée par la CNIL ;
- si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale
Dans ce dernier cas de figure, l'organisation n'est autorisée à traiter que les données sensibles relevant de son domaine.
Pourquoi le RGPD insiste-t-il particulièrement sur ces données ?
Le RGPD met un accent particulier sur les données sensibles en raison des risques élevés qu'elles présentent pour les individus. Les conséquences d'une diffusion ou d'une violation peuvent être dramatiques, tant sur le plan personnel que professionnel.
En cas d'exposition
Les personnes dont les données sensibles sont exposées courent le risque de subir des discriminations, des pertes d'emploi, ou des atteintes à leur réputation. Le RGPD vise à minimiser ces risques en imposant des obligations strictes aux entreprises et en garantissant des droits aux individus.
En cas de violations
Plusieurs cas de violations ont démontré les risques associés à une mauvaise gestion des données ou de leurs sécurité. Une violation de données impliques que les informations concernées sont entre les mains d'un acteur malveillant qui peut chercher à les exploiter.
Plus grave, les violations de données sont souvent détectées tardivement. Dans le laps de temps durant lequel les personnes concernées ne sont pas alertées, un individu malintentionné peut pleinement exploiter les données sensibles à sa disposition pour cibler des personnes fragiles ou même usurper l'identité de l'entreprise à son avantage.
En cas de détournement de finalité
Légitimes ou non, les données sensibles ne doivent pas être ré-utilisées pour d'autres objectifs que ceux du traitement qui a motivé leur collecte. C'est le principal risque à les laisser accessibles dans l'entreprise sans restrictions adaptées ou au sein de données non structurées.
Elles pourraient intégrer involontairement d'autres traitement et en biaiser les résultats. Ce dernier cas est à surveiller tout particulièrement avec les systèmes d'intelligence artificielle qui se nourrissent de données non structurées.
Perspectives
La protection des données sensibles est un enjeu crucial pour les entreprises, qui doivent non seulement se conformer à la réglementation, mais aussi veiller à la protection des droits fondamentaux des individus. Il n'est pas seulement question de sanctions, mais aussi de réputation.
À l'avenir, on peut s'attendre à une législation encore plus stricte sur l'interdiction de la collecte et la sécurité des données sensibles, peut-être avec l'introduction de nouvelles obligations comme leur chiffrement obligatoire ?