Le traitement des données dites « sensibles » fait l’objet d’une interdiction de principe au sein du droit européen. Pourtant, plusieurs exceptions permettent à des organismes, publics ou privés, d’y recourir sous conditions strictes. Ce cadre juridique s’applique notamment aux informations révélant l’origine raciale, les opinions politiques, les convictions religieuses ou encore les données relatives à la santé.
Des dérogations existent, mais elles impliquent des garanties spécifiques pour les personnes concernées. Les droits attachés à ces données sont renforcés, imposant une vigilance particulière lors de leur collecte, de leur utilisation ou de leur conservation.
Ce que recouvre vraiment la notion de données personnelles
Tout commence par une définition qui paraît simple, mais dont les ramifications s’étendent loin : la donnée à caractère personnel, au cœur du RGPD. Dès qu’une information, aussi banale qu’un prénom ou aussi discrète qu’une adresse IP, permet d’identifier une personne, directement ou non, elle entre dans ce champ. Le périmètre ne cesse de s’étendre, au gré des technologies et des usages : un simple identifiant en ligne, parfois, suffit à rattacher une donnée à une identité précise.
Mais le règlement ne se contente pas de ce socle. Il isole un groupe bien particulier : les données sensibles, énumérées à l’article 9. Ce sont elles qui touchent à l’intime : origine raciale, opinions politiques, convictions religieuses, appartenance syndicale, données génétiques ou biométriques, santé, vie sexuelle, orientation sexuelle. Leur gestion ne tolère ni l’improvisation ni la légèreté.
Avant d’aller plus loin, il est utile de distinguer quelques concepts clés :
- Donnée sensible : il s’agit d’une catégorie spécifique de données personnelles, soumises à un régime d’interdiction de traitement, sauf cas particuliers prévus par la loi.
- NIR (Numéro d’Inscription au Répertoire) : identifiant utilisé dans le secteur de la santé en France, qui doit respecter des exigences strictes d’anonymisation et de sécurité.
Les droits attachés à la gestion de ces informations ne manquent pas : droit à l’information, droit d’accès, droit de rectification, droit à l’effacement. Qu’il soit public ou privé, le responsable de traitement endosse une responsabilité permanente : celle de protéger chaque donnée, du moment où elle est collectée jusqu’à sa suppression. La Loi informatique et libertés, version française du règlement européen, enracine cette exigence dans le droit national.
Pourquoi l’article 9 du RGPD fait toute la différence pour les données sensibles
L’article 9 du RGPD change radicalement la donne. Il pose un principe clair : interdiction de traiter les données sensibles. Cela vaut pour tout ce qui concerne l’origine, les opinions, la santé, l’orientation sexuelle, les convictions profondes. Le texte ne ménage aucune zone grise. Traiter ces données ? Sauf dispositions précises, la réponse est non.
Mais la loi européenne ne s’arrête pas là. Elle prévoit des dérogations, chacune assortie de garde-fous précis. Parmi les principaux cas où le traitement devient possible :
- Consentement explicite : la personne concernée doit donner un accord clair, spécifique, informé. Le responsable du traitement doit pouvoir démontrer l’existence de ce consentement à tout moment.
- Nécessité médicale : lorsqu’un professionnel de santé agit dans l’intérêt vital d’un patient, le traitement peut se faire sans consentement préalable.
- Intérêt public majeur ou recherche scientifique : certains traitements sont autorisés dans ces cadres, mais sous la surveillance d’organismes indépendants comme la CNIL en France.
- Les partis politiques ou syndicats : ils disposent d’un régime adapté pour gérer les données de leurs membres, dans le respect de garanties spécifiques.
- En France, pour les mineurs de moins de 15 ans, la règle est double : il faut l’accord de l’enfant et celui d’un parent.
Ce cadre ne se limite pas à la théorie. Il impose des mesures concrètes : sécurité accrue, documentation précise de chaque traitement. Déroger à ces exigences, c’est courir le risque de sanctions sévères, mais aussi de perdre la confiance des citoyens.
Quels droits concrets pour les personnes concernées par le traitement de leurs données ?
Le RGPD ne se limite pas à poser des limites ou à brandir des menaces de sanction. Il donne à chaque individu une série de droits tangibles, applicables à tout traitement, y compris le plus sensible. Ces droits ne restent pas lettre morte : ils s’exercent, s’imposent, se défendent.
Voici les droits dont bénéficie toute personne concernée par un traitement de données sensibles :
- Droit à l’information : le responsable du traitement doit expliquer pourquoi il collecte les données, qui y aura accès, pendant combien de temps, et comment exercer ses droits.
- Droit d’accès : chacun peut demander si des données le concernant sont traitées, et obtenir une copie de celles-ci.
- Droit de rectification : toute information inexacte ou incomplète doit être corrigée sans délai.
- Droit à l’oubli : il est possible d’obtenir l’effacement des données, notamment lorsque le consentement est retiré ou que la finalité du traitement a disparu.
- Droit à la limitation : la personne peut demander à ce que le traitement soit temporairement suspendu, par exemple en cas de litige.
- Droit d’opposition : il est permis de refuser l’utilisation de ses données, sauf motif impérieux invoqué par le responsable.
- Droit à la portabilité : les données peuvent être récupérées et transmises à un autre service, sur demande.
- Droit de ne pas faire l’objet d’une décision automatisée : toute personne peut exiger qu’une situation ne soit pas réglée uniquement par un algorithme, sans intervention humaine.
À tout moment, chacun peut retirer son consentement. Ce retrait stoppe l’utilisation future des données, même si les traitements passés restent licites. Le responsable doit être en mesure de prouver que le consentement a bien été recueilli. Pour garantir l’exercice de ces droits, l’information doit être accessible, les démarches simples, et la réponse rapide. Si besoin, la CNIL reste un recours possible pour faire respecter la loi. Dans un contexte où la collecte de données s’intensifie, la vigilance est de mise, car derrière chaque traitement se joue une part de l’autonomie individuelle et du respect de la vie privée.
Exemples concrets : comment l’article 9 s’applique au quotidien
Au fil des jours, l’article 9 du RGPD déploie ses effets dans la gestion des données sensibles : santé, origine, opinions, appartenance syndicale… Les règles sont strictes, la surveillance constante, pour tout acteur amené à manipuler de telles informations.
Dans le domaine médical, le NIR (Numéro d’Inscription au Répertoire) illustre bien la vigilance exigée. À l’hôpital, chez un professionnel de santé, sa collecte n’est possible qu’en respectant des protocoles de sécurité et d’anonymisation rigoureux. Impossible d’y déroger sans justification médicale valable ou raison d’intérêt public majeure. L’accès aux dossiers médicaux intègre systématiquement ces contraintes, preuve que le RGPD ne se limite pas à de grands principes théoriques.
Sur les réseaux sociaux, la question de l’orientation sexuelle ou des croyances religieuses se pose différemment. Toute demande de renseignement sur ces thèmes nécessite un consentement explicite, clairement exprimé par l’utilisateur. Impossible de collecter ou d’exploiter ces données pour du ciblage ou de l’analyse sans un accord transparent, que la plateforme doit pouvoir démontrer à tout moment.
Dans l’univers politique et syndical, le traitement de données sensibles au sein d’un parti ou d’un syndicat est autorisé pour ses membres, mais uniquement dans le cadre de ses activités propres et sous réserve de garanties strictes. En France, pour les jeunes militants de moins de 15 ans, la double approbation, du parent et de l’enfant, est une condition incontournable.
En matière de recherche scientifique ou historique, des traitements de données sensibles peuvent être réalisés sans accord individuel, mais toujours sous le regard attentif de la CNIL et dans une logique d’intérêt collectif. Les études de santé publique, par exemple, mobilisent parfois ces exceptions pour mieux comprendre et prévenir les risques sanitaires, tout en préservant la confidentialité des participants.
Chaque nouveau projet, chaque collecte, chaque partage d’informations sensibles doit ainsi passer le test de l’article 9. C’est là, dans ces gestes quotidiens, que le RGPD trace la frontière entre protection des droits et innovation, entre confiance et défiance. La question reste ouverte : jusqu’où irons-nous dans la gestion de nos données les plus privées ?
