Le RGPD encadre les traitements de données personnelles de façon à assurer la protection de la vie privée des personnes concernées : ainsi, il existe certains traitements de données, qui, de par leur nature particulièrement sensible, sont strictement interdits.
C’est ce que nous allons découvrir dans ce nouvel article de blog : quelles sont ces données que les organisations n’ont pas le droit de traiter ? Existe-t-il des exceptions à ces traitements de données interdits ?
Les données personnelles dites « sensibles »
Le RGPD distingue les données personnelles ‘standards’ des données personnelles dites « sensibles ». Ces données personnelles sensibles sont caractérisées par l’impact d’une potentielle violation de données.
Ainsi, plus l’impact d’une violation de données a un impact important sur la vie privée des personnes concernées, plus ces données sont considérées comme sensibles.
Prenons un exemple.
Votre nom et prénom sont des données personnelles, mais ces données ne sont pas considérées comme sensibles. Si ces données là venaient à perdre en confidentialité, en intégrité ou en disponibilité, l’impact sur votre vie privée serait alors minime !
Cependant, vos données de santé sont elles des données personnelles considérées comme sensibles. Si vos informations de santé venaient à perdre en intégrité, en confidentialité ou en disponibilité, l’impact sur votre vie privée serait alors énorme, et les potentiels risques auxquels vous seriez exposé·e·s également !
C’est donc ce qui permet de caractériser une donnée sensible d’une donnée « non-sensible » : en cas de violation de données, plus l’impact sur la vie privée des personnes est élevé, plus ces données sont alors considérées comme sensibles, et font ainsi l’objet d’une protection renforcée.
Toutes les données ne sont pas bonnes à traiter
Certains traitements de données personnelles sont ainsi considérés comme « à risque », compte tenu de la nature sensible des informations traitées, et notamment :
Les traitements de données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les conditions religieuses ou philosophiques ou l’appartenance syndicale.
Les traitements de données génétiques, de données biométriques, aux fins d’identifier une personne physique de manière unique
Les données de santé ou les données concernant la vie sexuelle ou l’orientation sexuelle.
Ainsi, il est strictement interdit de réaliser des traitements de données personnelles avec les données personnelles à risques mentionnées ci-dessus.
Certaines exceptions existent malgré tout afin de permettre de traiter ces données personnelles un petit peu particulières.
Les catégories particulières de données à caractère personnelle : les exceptions
Ainsi, l’interdiction de traiter ces données personnelles un petit peu particulières ne s’applique pas lorsqu’au moins l’une des conditions suivantes est remplie :
La personne concernée a donné son consentement explicite pour le traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques. Cependant, il existe également certains contextes dans lesquels le consentement de la personne concernée ne peut pas lever cette interdiction explicitée ci-dessus.
Le traitement des données est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée, en matière de droit du travail, de la sécurité sociale ou de la protection sociale.
Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique (dans le cas où la personne concernée se trouverait dans l’incapacité physique ou juridique de donner son consentement).
Le traitement est effectué (dans le cadre d’activités légitimes et moyennant les garanties appropriées) par une fondation, une association ou tout autre organisme à but non-lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale. Dans ce cadre-là, les traitements de données ne doivent se rapporter qu’aux membres ou anciens membre dudit organisme, ou aux personnes entretenant avec celui-ci des contacts réguliers. Ces données personnelles ne doivent en aucun cas être communiquées en dehors de cet organisme sans le consentement des personnes concernées.
Le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice, ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle.
Le traitement est nécessaire pour des motifs d’intérêt public important.
Le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, de la gestion des systèmes et des services de soins et santé ou de protection sociale.
Le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique.
Le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique, historiques ou à des fins statistiques.
Les États membres ont également la possibilité de maintenir ou d’introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé.
Les données à caractère personnel relatives aux condamnations pénales et aux infractions
Les traitements des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes sont soumis au paragraphe 1 de l’article 6 du RGPD, article relatif à la licéité des traitements de données personnelles.
Pour plus de détails sur les éléments indispensables à la licéité des traitements de données à caractère personnel, veuillez consulter notre article de blog sur le sujet.
Le traitement de ces données personnel un petit peu particulières ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre, qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. En ce qui concerne le registre complet des condamnations pénales, il ne peut être tenu que sous le contrôle de l’autorité publique.
Les traitements ne nécessitant pas d’identification
Lorsque les finalités pour lesquelles les données à caractère personnel sont traitées n’imposent pas (ou n’imposent plus) au responsable du traitement d’identifier une personne concernée, celui-ci n’est pas tenu de conserver, d’obtenir ou de traiter des informations supplémentaires afin d’identifier la personne concernée, à la seule fin de respecter ce règlement.
Lorsque c’est effectivement le cas, le responsable de traitement est à même de démontrer qu’il n’est pas en mesure d’identifier la personne concernée, et il doit ainsi en informer la personne concernée lorsque cela est possible.
Pour conclure
Ainsi, toutes les données à caractère personnel ne se voient pas accorder le même degré d’importance : de par leur nature, certaines données personnelles sont considérées comme particulièrement sensibles. Ces données sensibles (soit les données se rapportant à des informations génétiques, biométriques, religieuses, politiques, etc.) font ainsi l’objet d’une protection renforcée. Les traitements de ces données personnelles bien particulières sont donc strictement encadrés, et il n’est autorisé de les traiter que dans des cas de figure bien spécifiques.
Articles complémentaires :
Vous avez apprécié cet article de blog ?
Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !
Nous avons besoin de vos réponses !
En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.
Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !
Merci pour vos réponses !
Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !
Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !
Comments