En bref
Les données sensibles — santé, biométrie, opinions politiques, origine ethnique — sont définies par l'article 9 du RGPD. Leur traitement est en principe interdit, sauf dix exceptions limitatives. Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
Définition légale des données sensibles au sens du RGPD
Art. 9§1 Règlement (UE) 2016/679
« Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits. »
Source : Règlement général sur la protection des données — article consolidé
Les neuf catégories de données sensibles : une liste européenne limitative
Ne pas confondre données personnelles et données sensibles
Un nom, une adresse postale ou un numéro de téléphone sont des données personnelles ordinaires soumises au régime général du RGPD. Seules les données relevant des neuf catégories limitatives de l'article 9 bénéficient du régime renforcé d'interdiction de principe. Qualifier à tort une donnée de sensible ou, inversement, ignorer ce caractère peut entraîner des erreurs de conformité lourdes de conséquences.
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Le principe d'interdiction et ses dix exceptions légales
Art. 9§2 Règlement (UE) 2016/679
« Le paragraphe 1 ne s'applique pas notamment lorsque la personne concernée a donné son consentement explicite au traitement pour une ou plusieurs finalités spécifiques, lorsque le traitement est nécessaire aux fins de l'exécution des obligations en matière de droit du travail et de protection sociale, ou lorsqu'il est nécessaire aux fins de la médecine préventive ou de la médecine du travail. »
Source : Règlement général sur la protection des données — article consolidé
Cass. crim., 8 juillet 2015, n° 13-86.267
« La chambre criminelle de la Cour de cassation valide l'inscription d'un candidat au don du sang dans un fichier automatisé de données personnelles de santé, jugeant que ce traitement entre dans les prévisions de l'exception relative à la médecine préventive prévue au paragraphe II, 6°, de l'article 8 de la loi du 6 janvier 1978. »
Source : JUDILIBRE — Cour de cassation
Obligations renforcées du responsable de traitement
Réaliser systématiquement une analyse d'impact documentée
Avant tout traitement de données sensibles à grande échelle, réalisez et documentez une AIPD complète. La CNIL met gratuitement à disposition le logiciel PIA (Privacy Impact Assessment) facilitant cette démarche, qui constitue une obligation légale et non une simple recommandation de bonnes pratiques.
Documenter la base légale dans le registre des traitements
Pour chaque traitement de données sensibles, identifiez et consignez précisément l'exception de l'article 9, paragraphe 2, applicable dans votre registre des activités de traitement prévu à l'article 30 du RGPD. Cette traçabilité est indispensable en cas de contrôle de la CNIL.
Sanctions encourues et interactions avec le droit du travail et de la santé
Art. 83§5 Règlement (UE) 2016/679
« Les violations des dispositions relatives au traitement des catégories particulières de données à caractère personnel visées à l'article 9 font l'objet d'amendes administratives pouvant s'élever jusqu'à 20 000 000 d'euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. »
Source : Règlement général sur la protection des données — article consolidé
Le consentement du salarié est rarement une base juridique valable
En contexte professionnel, la CNIL et le Comité européen de la protection des données considèrent que le consentement du salarié au traitement de ses données sensibles n'est généralement pas libre en raison du déséquilibre inhérent au lien de subordination. L'employeur doit fonder le traitement sur une autre exception de l'article 9§2, sous peine de voir la licéité du traitement contestée.
Questions fréquentes
Quelles données sont considérées comme sensibles au sens du RGPD ?
L'article 9 du RGPD qualifie de sensibles les données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que les données génétiques, biométriques aux fins d'identification unique, de santé et relatives à la vie sexuelle ou l'orientation sexuelle. Cette liste est limitative et ne peut être étendue par le responsable de traitement.
Le consentement suffit-il pour traiter des données sensibles en entreprise ?
Le consentement explicite constitue l'une des dix exceptions de l'article 9, paragraphe 2, du RGPD. Toutefois, en contexte professionnel, la CNIL estime que le consentement du salarié est rarement libre en raison du lien de subordination. L'employeur doit privilégier une autre base légale, telle que l'obligation légale en droit du travail.
Les données biométriques sont-elles toujours des données sensibles ?
Non. Les données biométriques ne sont qualifiées de sensibles que lorsqu'elles sont traitées aux fins d'identifier une personne physique de manière unique. Une photographie d'identité ne constitue pas en elle-même une donnée biométrique sensible, sauf si elle fait l'objet d'un traitement technique spécifique permettant l'identification biométrique.
Quelles sanctions risque-t-on pour un traitement illicite de données sensibles ?
Les sanctions administratives peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial au titre du RGPD. En droit français, l'article 226-19 du Code pénal prévoit en outre cinq ans d'emprisonnement et 300 000 euros d'amende. Ces sanctions administratives et pénales sont cumulables.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
- Procédure à Charleville Mezieres
- Procédure à Cergy
- Procédure à Beauvais
- Procédure à Evry Courcouronnes
- Procédure à Boulogne Billancourt
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,90 € · paiement sécurisé · satisfait ou remboursé 14 jours