Données sensibles

Dans le numéro précédent de RGPD : Le saviez-vous (#6), nous avons évoqué les bases légales sur lesquelles un traitement doit se fonder.

Soit.

Mais il existe des exigences supplémentaires pour certains types de données à caractère personnel. L’objectif est de préserver au plus les droits et libertés des personnes concernées compte tenu de la nature de ces données. C’est le cas, notamment, des données dites sensibles[1].

Définition

Plus précisément sont visées les données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique[2].

Par principe, le traitement des données sensibles est tout simplement interdit.

Conditions

Un traitement est toutefois possible, en substance, si le traitement repose sur l’un des fondements suivants :

  • Le consentement explicite de la personne concernée pour une ou plusieurs finalités spécifiques (sauf interdiction contraire).
  • L’exécution des obligations et l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale.
  • La sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement.
  • Dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale[3].
  • Les données à caractère personnel sont manifestement rendues publiques par la personne concernée.
  • La constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle.
  • Des motifs d’intérêt public important[4].
  • La nécessité aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale[5].
  • Des motifs d’intérêt public dans le domaine de la santé publique[6] ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux[7].
  • A des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques[8].

 

Précisions

Cette liste est limitative et interprétée strictement.

Elle est précisée/complétée par la loi LIL (Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) en son article 44.

Ainsi, un même traitement peut se fonder sur les bases légales « de droit commun », de manière générale, et sur les bases « spécifiques » pour les données dites sensibles.

Alors, avant de traiter des données à caractère personnel, anticipez et consultez !

 

Mon Cabinet d’avocat en droit des affaires situé à proximité de Laval, en Mayenne, est à votre disposition pour répondre à toutes vos questions !

 

[1] Ou « catégories particulières de données à caractère personnel » selon la terminologie du RGPD (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE)

[2] La définition est un peu différente de celle prévue par l’article 9 du RGPD mais devrait recouvrer les mêmes données.

[3] à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées

[4] sur la base du droit de l’Union ou du droit d’un ‘État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée

[5] sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3 de l’article 9 du RGPD

[6] tels que la protection contre les menaces transfrontalières graves pesant sur la santé

[7] sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel

[8] conformément à l’article 89, § 1, du RGPD, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée

 

Voir aussi :

#6 RGPD : Le saviez-vous ? – Quelle base légale pour un traitement ?

#5 RGPD : Le saviez-vous ? – To transfer ou not to transfer ?

#4 RGPD : Le saviez-vous ? – 2023, une année à fêter !

#3 RGPD : Le saviez-vous ? – Thématiques prioritaires de contrôle de la CNIL  

#2 RGPD : Le saviez-vous ? – Donnée à caractère personnel

#1 RGPD : Le saviez-vous ? – Genèse de la LIL

AFCDP (RGPD)
RGPD et Syndicat : consultation de la CNIL
Open data des décisions de justice

 

Photo de Meg Jenson sur Unsplash