Fondamentaux Données sensibles
Adopté le 27 avril 2016 et entré en vigueur le 25 mai 2018, le Règlement européen Général sur la Protection des Données (RGPD) ce sont des normes strictes qui régissent les données à caractère personnel. Également nommées « données sensibles », celles-ci font l’objet d’une interdiction de collecte et de traitement, sauf exception.
Qu’est-ce que les données sensibles pour le RGPD ?
La CNIL (Commission nationale de l’informatique et des libertés) définit les données sensibles comme formant une catégorie particulière des données personnelles. L’article 2 de la loi informatique et libertés précise qu’une donnée à caractère personnelle est une « information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».
Les données sensibles RGPD sont donc des données à caractère personnel qui, si elles sont révélées ou si elles font l’objet d’un traitement, sont susceptibles de mener à des discriminations. Pour aller plus loin, cette catégorie de données personnelles est soumise à des règles juridiques particulières. Le RGPD en interdit la collecte et le traitement sauf « exceptions limitatives ». Les traitements temporaires (conservation temporaire, enregistrement ou encore collecte) font l’objet de la même interdiction.
Quelle est la liste des données sensibles RGPD ?
Selon l’article 9 du RGPD, les informations concernées par les limitations de traitement des données dites sensibles sont les suivantes :
- l’origine raciale ou ethnique ;
- les opinions politiques, les convictions religieuses ou philosophiques ;
- l’appartenance syndicale ;
- les données génétiques ou données biométriques aux fins d’identifier une personne physique de manière unique ;
- les données concernant la santé (numéro de sécurité sociale notamment) ;
- les données relatives à la vie sexuelle ou l’orientation sexuelle.
S’ajoutent à cette liste, les données d’infraction ou de condamnation pénale qui font l’objet de règles de traitement particulières.
Comment se font la collecte et le traitement des données sensibles RGPD ?
L’article 9.2 du RGPD énonce les conditions sous lesquelles la collecte et le traitement des données sensibles sont possibles.
- Lorsque la personne a donné son consentement explicite pour une ou plusieurs finalités spécifiques. Cette condition ne s’applique que si le consentement de la personne concernée est libre, spécifique et informé.
- Lorsque les informations recueillies ont été rendues publiques par la personne concernée.
- Lorsque le traitement des données sensibles RGPD s’avère nécessaire à la sauvegarde de la vie de la personne.
- Si cette collecte et le traitement sont nécessaires à l’exécution des obligations en matière de droit du travail, droit social ou à la constatation, l’exercice ou à la défense d’un droit en justice.
- Si ces données se révèlent nécessaires à la gestion des membres d’un organisme à but non lucratif tel qu’un syndicat, un parti politique ou encore une association religieuse ou philosophique.
- Lorsque ces données sont reconnues nécessaires pour des motifs d’intérêt public (santé publique), des fins d’archives pour la recherche scientifique ou historique et des fins de statistiques (sous réserve de garanties).
Quelles règles s’imposent pour le traitement des données sensibles RGPD ?
Le traitement des données sensibles RGPD est strictement réglementé. Le RGPD exige ainsi un principe de licéité et un principe de minimisation des données. La loi Informatique et Liberté impose quant à elle un principe de finalité.
Le caractère licite du traitement des données sensibles
L’article 6 du RGPD précise les six conditions pour lesquelles le traitement des données par les entreprises est licite.
- La personne a exprimé son consentement explicite à ce que ses données soient utilisées à des fins spécifiques.
- Le traitement des données sensibles RGPD est nécessaire pour l’exécution d’un contrat auquel la personne concernée est partie prenante ou pour la mise en œuvre de mesures précontractuelles prises à sa demande.
- Le traitement est essentiel au respect d’une obligation légale à laquelle le responsable du traitement des données est soumis.
- Le traitement est requis pour la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
- Le traitement est requis pour l’accomplissement d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont le RT est investi.
- Le traitement est indispensable aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que les intérêts ou les droits fondamentaux de la personne concernée, en particulier lorsqu’il s’agit d’un enfant, ne prévalent et exigent une protection des données personnelles.
Ce dernier point ne s’applique pas au traitement effectué par les autorités publiques dans le cadre de leurs missions.
Les principes de minimisation et de finalité des données personnelles
Selon l’article 4 de la Loi Informatique et Libertés, les données à caractères personnelles doivent être collectées et traitées uniquement pour des « finalités déterminées, explicites et légitimes ». La loi précise également qu’elles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités de traitement. Enfin, elles doivent être conservées pendant une durée n’excédant pas celle nécessaire et traitées de façon à en garantir la sécurité.
Le règlement européen impose ainsi le principe de minimisation via son article 5-1 : « les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Cela signifie que le DPO (Data Protection Officer) doit prendre garde à ne collecter que les données strictement nécessaires à la réalisation de l’objectif final.
Pourquoi le consentement explicite est si important pour le traitement des données sensibles ?
Le consentement explicite est l’une des bases légales du RGPD. La règle du consentement explicite vous garantit de conserver le contrôle de vos données. Ce consentement doit toujours être recueilli en amont du traitement et précédé d’une explication vous permettant de comprendre ce qui sera fait de vos données. Enfin, il doit être :
- libre : vous devez pouvoir refuser de consentir au traitement de vos données si ce dernier n’est pas nécessaire au fonctionnement sans que cela ne dégrade la qualité d’utilisation (du site, d’un formulaire, d’un produit, d’un service, etc.) ;
- spécifique : votre consentement doit être demandé uniquement pour une finalité déterminée ;
- univoque, non ambigu : votre consentement doit faire l’objet d’une déclaration ou d’un acte clair de votre part et ne doit pas, par exemple, être le fait de cases préactivées ou précochées ;
- éclairé : le responsable de traitement doit vous fournir les informations indispensables (catégories des données collectées, droit au retrait du consentement, finalités, etc.) à votre prise de décision.
Quelles sont les mesures de sécurité requises par le RGPD pour protéger les données sensibles ?
Le RGPD exige de toute entreprise qu’elle réduise les risques liés au traitement des données sensibles, notamment en termes de cybersécurité. Pour cela, le règlement européen énonce trois principes : le principe de confidentialité, le principe d’intégrité ainsi que le principe de disponibilité.
Pour réduire les risques d’atteinte à la sécurité, le règlement européen suggère également quelques mesures de sécurité :
- le chiffrement ;
- la pseudonymisation ;
- les mesures logicielles ou logiques (antivirus, mot de passe) ;
- les mesures physiques ou matérielles telles que le verrouillage des portes ;
- les mesures organisationnelles (procédure, gouvernance).
Le RGPD prévoit également qu’une analyse d’impact relative à la protection des données (AIPD) soit réalisée dès lors que le traitement est « susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes concernées ». La CNIL a publié la liste des types d’opérations de traitement pour lesquels une AIPD doit être réalisée.
Comment fonctionne le transfert international de données sensibles RGPD ?
Les données sensibles peuvent être transmises au sein de l’Union Européenne (UE), de l’Espace Économique Européen (EEE) dès lors que les principes du RGPD sont respectés. Il s’agit principalement des principes de légitimité, d’information, de licéité, de finalité et de minimisation.
En revanche, le transfert de données à caractère personnel hors UE est fortement encadré par le RGPD. Tout transfert doit se fonder sur :
- la décision d’adéquation telle que définie par l’article 45 du RGPD ;
- ou, en l’absence de celle-ci, sur des « garanties appropriées » telles que précisées dans l‘article 46 du RGPD.
Lorsque ni l’une, ni l’autre de ces conditions n’est remplie pour un transfert de données sensibles vers un état non membre de l’UE, il est possible d’obtenir certaines dérogations (article 49 du RGPD).
Données sensibles RGPD : quels sont les droits des personnes concernées ?
Les personnes concernées ont des droits inaliénables sur leurs données privées. Il s’agit :
- du droit d’accès : qui vous permet de savoir si une entreprise ou un organisme traite vos données personnelles, d’en obtenir la communication et de contrôler leurs exactitudes ;
- du droit de rectification ;
- du droit à l’effacement (ou droit à l’oubli) ;
- du droit à la limitation du traitement ;
- de l’obligation notification en cas d’effacement, de rectification ou de limitation du traitement ;
- du droit à la portabilité de leurs données ;
- du droit d’opposition.
Que prévoit la RGPD en cas de fuite de données sensibles ?
En cas de fuite de données sensibles, la RGPD prévoit plusieurs mesures et obligations pour les organisations concernées :
- Notification de la Violation : Les organisations doivent notifier l’autorité de protection des données compétente dans les 72 heures suivant la découverte de la fuite. Si la violation présente un risque élevé pour les droits et libertés des personnes, les individus concernés doivent également être informés sans délai injustifié.
- Évaluation des Risques : L’organisation doit évaluer les risques que la violation pose pour les personnes concernées. Cela inclut des risques de préjudice financier, de réputation, ou d’autres formes de préjudices sociaux ou économiques.
- Mesures Correctives : Les organisations doivent prendre des mesures immédiates pour limiter les dommages causés par la fuite. Cela peut inclure des actions pour sécuriser les données, prévenir une propagation plus large de la fuite, et minimiser l’impact sur les individus concernés.
- Documentation et Responsabilité : Les organisations doivent documenter toute violation de données, en détaillant sa nature, ses conséquences, et les mesures prises en réponse. Ceci est essentiel pour démontrer la conformité avec la RGPD.
- Coopération avec les Autorités : Les organisations doivent coopérer avec l’autorité de surveillance dans le cadre de l’enquête sur la violation de données.
La RGPD met donc l’accent sur la prévention des fuites de données, la réponse rapide en cas d’incident, et la responsabilisation des organisations dans la protection des données personnelles.
Quelles sont les responsabilités et les sanctions en cas de non-conformité ?
Le non-respect de l’une des obligations du RGPD par une entreprise ou un organisme peut entraîner de lourdes sanctions (article 83 du RGPD). Si une plainte ou un signalement est déposé à la CNIL pour cause de non-conformité, cette dernière procède à un contrôle et peut sanctionner les responsables des traitements. Les sanctions peuvent être d’ordre :
- Administratives : le montant de l’amende peut atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les compagnies internationales. En cas de manquement grave (oubli ou mauvaise application du principe de consentement ou transfert à des pays tiers), l’amende peut atteindre 20 millions d’euros ou 4% du CA mondial (selon le montant le plus élevé).
- Pénales : lorsque la non-conformité résulte d’une violation du RGPD non répertoriée dans l’article 83, les sanctions peuvent être pénales. En France, celles-ci peuvent aller jusqu’à 5 ans de prison et 300 000 euros d’amende (art. 226-16 et 226-24 du Code pénal).
Complexe, le RGPD est souvent difficile à appréhender en entreprises. Celles-ci ont tout intérêt à faire appel à un expert en cybersécurité formé à la Cyber Management School. Un Data Protection Officer ou DPO pourra s’assurer du respect et de la mise en œuvre des règles relatives au RGPD. Le consultant Gouvernance Risques et Conformité (GRC) pourra également s’assurer de la conformité du traitement des données sensibles.