Qu'est-ce qu'une donnée sensible ?

Les données sensibles, également appelées données personnelles sensibles ou désignées par l'acronyme SPII (Sensitive Personally Identifiable Information), sont définies dans le Règlement général sur la protection des données (RGPD), qui les considère comme des « catégories particulières de données ». Elles nécessitent une protection renforcée car elle pourraient causer préjudices, entraîner des discriminations ou des conséquences négatives pour la personne concernée.


La définition d'une donnée sensible peut varier en fonction du contexte ou du secteur d'activité mais la définition généralement retenue est celle du RGPD qui s'applique aux données à caractère personnel. C'est ce règlement qui fixe les lignes directrices applicables pour garantir la protection des données sensibles et les conditions dans lesquelles elles peuvent être traitées. Le non-respect des réglementations peut entraîner des sanctions pour les organisations, notamment des amendes substantielles, des dommages à la réputation et une perte de confiance des personnes dont les données sont traitées.

A l'international, d'autres réglementations et lois nationales ou sectorielles, notamment aux États-Unis, visent certaines catégories de données sensibles. Par exemple, la loi HIPAA protège les informations sur la santé des individus, tandis que le PCI DSS sécurise les données de carte de crédit.


Définitions et catégories de données sensibles

Les données sensibles sont avant tout des données personnelles, c'est-à-dire des informations qui permettent d'identifier directement ou indirectement une personne physique. Le RGPD distingue en effet les données personnelles générales des données personnelles dites « sensibles ». Ces dernières nécessitent une protection accrue en raison des risques qu'elles posent pour les droits et libertés des individus.

Catégories de données sensibles

Le RGPD liste explicitement les catégories de données qui nécessitent une protection accrue en raison du risque accru qu’elles comportent pour la vie privée des individus. Ces catégories sont les suivantes :

  • L'origine raciale ou ethnique.

  • Les opinions politiques.

  • L'appartenance syndicale.

  • Les convictions religieuses ou philosophiques.

  • Les données concernant la santé.

  • Les données concernant la vie sexuelle ou l’orientation sexuelle.

En complément, le RGPD inclut également les types de données suivantes dans la catégorie des données sensibles :

- Données biométriques : informations relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, permettant de l'identifier de manière unique.

- Données génétiques : informations relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique, résultant de l'analyse d'un échantillon biologique de la personne physique en question.

Il est bon de mentionner que les coordonnées bancaires et autres données de paiement, bien qu'elles soient des données personnelles et hautement sensibles, ne sont pas classifiées comme "données sensibles" sous le RGPD. Ces données sont généralement couvertes par d'autres textes spécifiques - norme PCI DSS ou DSP2 pour les établissements de paiement - qui imposent des contraintes strictes sur la manière dont les informations relatives aux modes de paiement doivent être protégées.

Données indirectement sensibles

En août 2022, la Cour de justice de l’Union Européenne a étendu la définition des données sensibles aux données indirectement sensibles.
Il s'agit de données qui ne sont pas directement sensibles peuvent néanmoins être utilisées pour déduire des informations sensibles. Cela signifie que même des informations qui, en apparence, ne sont pas sensibles mais permettent de déduire des informations protégées doivent être traitées comme le seraient des données sensibles.


Exemples de données sensibles

Les données sensibles se caractérisent par leur capacité à révéler des aspects très personnels et intimes de la vie d'un individu, nécessitant ainsi une protection renforcée. Voici quelques exemples concrets illustrant les différentes catégories de données sensibles définies par le RGPD :

Données de santé

  • Dossiers médicaux : incluent les antécédents médicaux, les diagnostics, les traitements, et les prescriptions médicales
  • Rapports de laboratoire : résultats d'analyses de sang, d'imagerie médicale, ou de biopsies
  • Informations de santé mentale : données relatives à des consultations psychologiques ou psychiatriques, diagnostic de troubles mentaux, etc
  • Le numéro de sécurité sociale : le NIR est considéré comme une donnée de santé

Opinions politiques

  • Appartenance à un parti politique : données sur l'adhésion ou le soutien actif à un parti politique
  • Contributions à des campagnes politiques : informations sur les dons financiers faits à des campagnes politiques ou des candidats

Convictions religieuses ou philosophiques

  • Appartenance religieuse : données indiquant l'affiliation à une religion spécifique
  • Pratiques religieuses : informations sur la participation à des cérémonies religieuses ou des rites
  • Croyances philosophiques : adhésion à des systèmes de pensée ou de valeurs

Appartenance syndicale

  • Adhésion à un syndicat : informations sur l'adhésion et la participation à des activités syndicales.
  • Histoire d'engagement syndical : données sur les fonctions exercées au sein d'un syndicat et les actions de grève ou de manifestation

Orientation sexuelle

  • Préférences sexuelles : informations révélant l’orientation sexuelle d’une personne (hétérosexuelle, homosexuelle, bisexuelle, etc.)
  • Vie sexuelle : données concernant les habitudes ou les partenaires sexuels

Données biométriques

  • Empreintes digitales : utilisées pour l'authentification ou la sécurisation d’accès
  • Reconnaissance faciale : images ou caractéristiques faciales permettant d'identifier de manière unique une personne
  • Données vocales : enregistrements et analyses de la voix pour les systèmes de reconnaissance vocale

Données génétiques

La raison 34 du texte européen apporte des précisions sur cette catégorie de données:

  • Profils ADN : données relatives à l'acide désoxyribonucléique (ADN) ou de l'acide ribonucléique (ARN)
  • Analyse génétiques : résultats d'analyse d'un autre élément permettant d'obtenir des informations équivalentes

Conditions de traitement des données

En principe, le traitement de ces données est interdit, sauf si une des conditions spécifiques prévues par l'article 9 du RGPD est remplie auquel cas il est strictement encadré. Ces conditions spécifiques sont les suivantes dont au moins une doit être remplie :

  • La personne concernée a donné son consentement explicite
  • Les informations sont déjà rendues publiques par la personne concernée
  • Les données traitées sont nécessaires à la sauvegarde de la vie humaine
  • Le traitement mis en oeuvre est justifiée par l'intérêt public et autorisé par la CNIL
  • Les informations concernent les adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale
    • Cette dernière condition ne permet de traiter que la catégorie de données en lien avec l'activité de l'organisation

Le traitement de données sensibles peut être autorisé si la personne concernée donne son consentement explicite. Pour mémoire, ce consentement doit être :

  • Libre : donné sans pression ni coercition.
  • Spécifique : porté sur un traitement bien défini.
  • Éclairé : la personne doit être pleinement informée des finalités du traitement et de ses droits.
  • Univoque : doit résulter d’une démarche claire et manifeste de la personne concernée.
Obligations légales

Le traitement des données sensibles peut également être nécessaire pour se conformer à des obligations légales. Dans ces contextes, le traitement est justifié par le besoin de respecter des lois spécifiques qui imposent la collecte et l'utilisation de telles informations pour la prestation de services sociaux, les obligations d'emploi, ou d'autres exigences législatives.

Un exemple qui concerne toutes les entreprises est la gestion de la paie dans laquelle est impliqué le NIR.

Le traitement de données sensibles peut être autorisé si les informations ont été rendues manifestement publiques de manière délibérée par la personne concernée.

Lorsque des situations d'urgence mettent en péril la vie ou la sécurité d'une personne physique, le traitement de données sensibles peut être justifié sans consentement. Pour que cette exception s'applique, il faut qu'il soit impossible d'obtenir l'accord de la personne, qu'elle soit dans l'incapacité physique de donner son consentement.

Des motifs d'intérêt public peuvent justifier le traitement de données sensibles, mais ces traitements doivent avant-tout être autorisés par la CNIL. La liste des traitements expressément autorisés par la CNIL n'est pas constitué, on peut toutefois s'appuyer sur la liste des types d'opérations de traitement dont la mise en œuvre requiert une AIPD en y recherchant des composantes d'intérêt public.

On y trouve par exemple :

  • Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire
  • Instruction des demandes et gestion des logements sociaux
  • Traitements ayant pour finalité l'accompagnement social ou médico-social des personnes

La plupart des données traitées à grande échelle pour suivre des tendances et indicateurs nationaux n'entrent pas dans ce cadre car les données peuvent être anonymisées ou pseudonymisées et sortent ainsi du champ d'application des données personnelles sensibles.

Le traitement de données sensibles peut être effectué par certaines organisations à but non lucratif, notamment celles ayant un objet politique, philosophique, religieux ou syndical. Les catégories de données sensibles traitées ne doivent pas dépasser le champ d'intervention de l'organisation Ce traitement doit se limiter aux membres ou adhérents de l’organisation, et les données ne peuvent être divulguées à des tiers sans le consentement des personnes concernées.

Il est à noter que lorsqu'une personne n'adhère plus à l'organisation, celle-ci n'est plus légitime à traiter ses données sensibles.

Protection des données sensibles

Cas général

Le traitement des données sensibles est interdit par le RGPD. A moins d'être dans l'une des conditions qui autorise leur traitement, il faut procéder : soit à l'effacement de l'information, soit à l'anonymisation / la pseudonymisation des données de la personne concernée.

Dans certaines condition autorisant le traitement d'une donnée personnelle sensible, une attention particulière doit être portée à limiter sa durée de conservation au strict nécessaire.

Dispositifs de Sécurité

La CNIL n'impose pas de dispositifs de sécurité spécifiques aux traitements de données sensibles. Elle émet toutefois des recommandations dont certaines sont applicables aux données sensibles :

  • Contrôle d'accès aux données : 
    • Traiter les droits d'accès aux données sensibles de façon différentiée et appliquer le principe du moindre privilège
    • Cloisonner les données en limitant leur diffusion aux seules supports, services ou applications par lesquelles elles doivent être traitées
    • Journaliser et Auditer les acces (en consultation et en modification) aux données sensibles pour identifier les non conformités ou violation de données de façon précoce.
  • Chiffrement des données sensibles au repos et en mouvement : protéger les données y compris en cas de perte de matériel et d'interception des communication
  • Sensibilisation du personnel : 
    • Former régulièrement les collaborateurs aux bonne pratiques en matière de protection des données
    • Renforcer le dispositif de façon ciblée lorsque de mauvaises pratiques sont identifiées
  • Anonymisation et pseudonymisation : appliquer des méthodes empêchant de remonter à l'identité des personnes concernées notamment pour les environnements de test.

C'est la gestion des risques réalisée à l'occasion d'un PIA qui déterminera les mesures pertinentes à retenir dans le cadre d'un traitement et celles qui pourraient compléter le dispositif pour garantir la sécurité des données personnelles sensibles.