Les données sensibles bénéficient d’un statut particulier et leur utilisation est, sauf exceptions, strictement interdite. Le responsable de traitement se doit donc d’être extrêmement vigilant s’il est amené à les manipuler.
Les données sensibles sont des données à caractère personnel très particulières. En cas de divulgation, leur traitement pourrait porter préjudice aux personnes concernées. Selon la CNIL, ces informations révèlent en effet « la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale » d’un individu. Les données sensibles concernent également « les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, ainsi que les données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique ».
Le règlement général sur la protection des données (RGPD) interdit purement et simplement leur recueil et leur utilisation, sauf dans un nombre bien précis d’exceptions :
- Si la personne concernée a donné son consentement explicite au traitement de ces données pour une ou plusieurs finalités spécifiques,
- Si le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale,
- Si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée,
- Si le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale,
- Si le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée,
- Si le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice,
- Si le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre,
- Si le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale,
- Si le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique,
- Si le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.
Il est à noter que les données relatives aux infractions, condamnations et mesures de sûreté ne sont pas considérées comme des données sensibles par le RGPD. Mais elles sont très strictement encadrées par la loi. Seules les juridictions, certaines autorités publiques et les auxiliaires de justice (avocats, par exemple) peuvent les traiter, ainsi que la personne morale victime dans le cadre de la défense de ses intérêts.
De multiples obligations pour le responsable de traitement
Comme pour toute donnée personnelle, le responsable de traitement des données sensibles doit s’assurer que l’objectif du traitement est adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités qu’il poursuit. Il doit également veiller à ce que les données soient traitées de manière licite, loyale et transparente au regard des personnes concernées. Enfin, il doit mettre en place des mesures de sécurité renforcées afin de les protéger efficacement.
Le responsable de traitement doit également vérifier que les zones de commentaires libres (également appelées « zones bloc-notes »), qui permettent d’améliorer le suivi d’un dossier client ou de personnaliser une relation commerciale, sont utilisées avec discernement. La CNIL a déjà eu l’occasion de prononcer plusieurs mises en demeure et avertissements en raison d’un mauvais usage de ces zones de texte. Les informations collectées sur les personnes doivent être adéquates, pertinentes et non excessives au regard de la finalité du traitement envisagé, qu’il soit automatisé ou au format papier. Les commentaires ne doivent donc pas être inappropriés, subjectifs et insultants.
La CNIL précise par exemple : « Il apparait légitime qu’une société identifie les clients dont la situation particulière justifie une modération ou un échelonnement de paiements. Cependant, l’inscription des motifs est souvent non pertinente, voire excessive. Par exemple, le commentaire « en instance de divorce », ou « client au chômage » est considéré, dans certaines circonstances, comme inadéquat, non pertinent et excessif ».
Le cas particulier des travaux de recherche
Par ailleurs, certains traitements mis en œuvre dans des travaux de recherche scientifique portent sur des catégories de données sensibles. Certains traitements nécessaires à la conduite d’études sur la mesure de la diversité des origines peuvent ainsi porter sur des données objectives, telles que la langue parlée ou l’origine géographique au sein d’un territoire national. Cependant, comme l’a jugé le Conseil constitutionnel, ils ne peuvent reposer sur l’origine ethnique ou la prétendue « race ».
Il est également possible de collecter des données subjectives (exemple : le « ressenti d’appartenance », via des questions sur l’image de soi ou les expériences de discriminations et le regard des autres) si celle-ci n’a pas pour objet, directement ou indirectement, de classifier les personnes interrogées en fonction soit de leur origine ethnique ou prétendument raciale déclarée, soit d’un référentiel ethno-racial.
Les chercheurs doivent également veiller à ne pas transformer des données a priori non sensibles en données sensibles. Des recherches portant sur la géolocalisation des véhicules pourraient en effet révéler des convictions politiques réelles ou supposées, des convictions religieuses et/ou des données relatives à la santé par l’étude des habitudes de déplacement et du stationnement sur le parking de lieux particuliers (locaux d’un parti politique, fréquentation de lieux de culte, etc.).
Dans tous les cas, les personnes ayant confié des données sensibles à un organisme, quel qu’il soit, dans le cadre de travaux de recherche ou non, doivent disposer, à tout moment, d’un droit d’accès, d’effacement et d’opposition. La CNIL est particulièrement vigilante au sujet des données sensibles. Une utilisation illégale de ces données expose toute entreprise contrevenante à des sanctions pouvant atteindre 4 % de son chiffre d’affaires.