Les données dites « sensibles » sont une catégorie particulière de données personnelles car elles révèlent des informations particulièrement intrusives sur la vie privée des personnes concernées.
Ce sont 1 :
- Les données concernant l’origine raciale ou ethnique
- Les opinions politiques
- Les convictions religieuses ou philosophiques ou l’appartenance syndicale
- Les données génétiques ou biométriques afin d’identifier une personne physique de manière unique
- Les données concernant la santé
- Les données concernant la vie sexuelle ou l’orientation sexuelle
Etant donné leur sensibilité, leur usage est par principe interdit. Leur traitement pourra néanmoins être autorisé selon un encadrement strict 2 (sauvegarde des intérêts vitaux d’une personne, obligation légale, consentement des personnes concernées, etc…).
Au-delà de leur encadrement juridique, la difficulté réside dans leur qualification.
Quand fait-on face à une donnée sensible ?
Les données sensibles sont facilement identifiables lorsqu’elles le sont par « nature ». Par exemple, un diagnostic médical, des résultats d’examens médicaux, ou encore un handicap, sont des données de santé.
Mais une donnée peut également être qualifiée de santé en raison de sa destination ou d’un croisement avec d’autres données. C’est le cas, par exemple, des données concernant l’aménagement spécifique d’un poste de travail pour un employé en situation de handicap : l’information selon laquelle l’Employé X dispose d’un clavier en braille, sont des données de santé car elles mènent à déduire que le dit employé souffre d’un handicap visuel.
La qualification de données de santé est par conséquent considérée comme extensive.
Cette extension de la qualification est-elle applicable à toutes les données sensibles ?
C’est la question à laquelle la Cour de Justice de l’Union Européenne (CJUE) a répondu dans un arrêt d’août 2022 3.
La question de la qualification de données sensibles s’est posée lors de l’absence de déclaration d’intérêts privés aux autorités administratives lituaniennes par un dirigeant à des fins d’identification de potentiels conflits d’intérêts (obligation légale, liée à la lutte contre la corruption).
Pour justifier l’absence de déclaration, le dirigeant concerné a argué que la déclaration de données telles que le nom de son conjoint constituerait un traitement de données sensibles car cela pourrait fournir des informations sur son orientation sexuelle, autrement dit, des données sensibles.
Ces données n’étant pas des données sensibles par nature, peuvent-elles dès lors être tout de même considérées indirectement comme sensibles ?
Oui, « un traitement portant non seulement sur des données intrinsèquement sensibles, mais également sur des données dévoilant indirectement, au terme d’une opération intellectuelle de déduction ou de recoupement, des informations de cette nature ».
L’impact de cette décision est significatif pour les responsables de traitement qui doivent mener une réflexion quel que soit le traitement de données personnelles, afin de vérifier si des données peuvent être considérées comme sensibles par déduction ou recoupement, tout comme c’est déjà le cas pour les données de santé.
1 A noter que d’autres données peuvent être considérées par le droit local d’un Etat comme étant sensible. Par exemple, en France, le numéro de sécurité sociale.
2 Article 9 du RGPD.
3 Arrêt de la Cour de Justice de l’Union Européenne, août 2022.
